【发布时间】:2017-09-07 16:15:41
【问题描述】:
摄取另一种提供疯狂 json 输出的源类型。开头是这样的:
Sep 1 15:52:26 | IdentityValidationApi | | | | {"header":{"tenantId":"X03LHWE3","requestType":" ...
在请求和响应之间有一个管道,但两者都在同一行:
..."serverTime":"2017-09-01T19:52:24.641Z"}}} | {"responseHeader":{"tenantID":
json 输出以
结尾...,"fieldValue":"Engineer"}]}}} | D2C CrossCore Request-Response | IdentityValidationApi.corp-dev.com | /api/Inquiry | 172.30.68.88 | | True
我试过 jq,使用 jq .header[],但它讨厌那个 |在事件的中间。最终目标是将整个事件摄取到 Splunk 中,而没有 json 之外的开始或结束文本。有人可以在这里建议任何步骤吗?谢谢。
编辑:我可以使用 sed 拉出行首,但不确定如何将其与从末尾删除文本结合起来。我可以这样做吗?
【问题讨论】: