Splunk 搜索不会 return 字段上的所有事件数据
Splunk Search does not return all event data on a field
我在 Splunk 搜索中遇到了一个非常奇怪的问题。我有一个来自 REST API 的数据输入,return 是一个多级(嵌套)JSON 响应:
实体节点有多个节点,每个节点代表一个接入点。每个访问点都包含一个名为 ipAddress 的字段。
此 API 每 5 分钟调用一次,响应存储在 Splunk 中。当我进行搜索以从一个事件中获取 IP 地址 的列表时,我并没有得到所有这些。出于某种原因,就像 Splunk 只读取实体内的前七个节点,因为当我这样做时:
source="rest://AccessPointDetailsAPI" | head 1
Splunk 仅在字段中显示以下值(7 个值,尽管大约有 27 个 ):
如果重要的话,我正在使用演示许可证。为什么我看不到所有值?如果我更改我的搜索以在响应中查找特定的 iPAddress 但不在列表中,它将不会 return 记录。
感谢和问候,
我想我现在明白问题所在了。所以事件是一个大 json 并且 Splunk 没有正确解析大 json.
上的所有字段
我们需要告诉splunk用spath解析我们需要的具体字段,并指定字段:
yoursearch | spath output=myIpAddress path=queryResponse.entity{}.accessPointDetailsDTO.ipAddress | table myIpAddress
http://docs.splunk.com/Documentation/Splunk/5.0.4/SearchReference/Spath
但我认为分析数据输入是否需要划分为多个事件而不是单个大事件也很重要。
我在 Splunk 搜索中遇到了一个非常奇怪的问题。我有一个来自 REST API 的数据输入,return 是一个多级(嵌套)JSON 响应:
实体节点有多个节点,每个节点代表一个接入点。每个访问点都包含一个名为 ipAddress 的字段。 此 API 每 5 分钟调用一次,响应存储在 Splunk 中。当我进行搜索以从一个事件中获取 IP 地址 的列表时,我并没有得到所有这些。出于某种原因,就像 Splunk 只读取实体内的前七个节点,因为当我这样做时:
source="rest://AccessPointDetailsAPI" | head 1
Splunk 仅在字段中显示以下值(7 个值,尽管大约有 27 个 ):
如果重要的话,我正在使用演示许可证。为什么我看不到所有值?如果我更改我的搜索以在响应中查找特定的 iPAddress 但不在列表中,它将不会 return 记录。
感谢和问候,
我想我现在明白问题所在了。所以事件是一个大 json 并且 Splunk 没有正确解析大 json.
上的所有字段我们需要告诉splunk用spath解析我们需要的具体字段,并指定字段:
yoursearch | spath output=myIpAddress path=queryResponse.entity{}.accessPointDetailsDTO.ipAddress | table myIpAddress
http://docs.splunk.com/Documentation/Splunk/5.0.4/SearchReference/Spath
但我认为分析数据输入是否需要划分为多个事件而不是单个大事件也很重要。