使用 splunk 绘制从 json 字符串字段中提取的键计数表

【问题标题】:Using splunk to plot table of key counts extracted from json string field使用 splunk 绘制从 json 字符串字段中提取的键计数表
【发布时间】:2020-11-10 05:05:02
【问题描述】:

我想使用 splunk 从我的服务的有效负载日志中绘制图表,以突出显示查询参数的类型。日志格式如下:

2020-11-10 04:46:57.471  INFO InfoType="payload" request="{"queryParams":{"field1":"26453451364"}}" 

2020-11-10 04:46:57.471  INFO InfoType="payload" request="{"queryParams":{"field2":"71362547612531"}}" 

2020-11-10 04:46:57.471  INFO InfoType="payload" request="{"queryParams":{"field3":"71547612531", "field4":"7136254761"}}"

对于以上内容,我希望输出是这样的:

Query Param   | Count
--------------------
field1        |  1
--------------------
field2        |  1
--------------------
field3,field4 |  1

我用 spath 尝试了很多,但我无法让它工作。

| makeresults
| eval _raw="2020-11-10 04:46:57.471  INFO InfoType=\"payload\" request=\"{\"queryParams\":{\"field1\":\"26453451364\"}}\""
| spath input=request path={}.queryParams

任何关于如何继续或我做错了什么的帮助都会非常有帮助。提前致谢和问候。

【问题讨论】:

    标签: logging splunk


    【解决方案1】:

    您的 JSON 似乎有多值字段

    先尝试使用mvexpand

    index=ndx sourcetype=srctp
| mvexpand queryParams
| stats count by queryParams
| rename queryParams as "Query Param"

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode