Splunk 仅 select 匹配 JSON 数据
Splunk only select matching JSON data
我将 JSON 报告加载到 Splunk 中,这些报告有很多数组。当我搜索时:
source=test| search "behavior.system.processes.process{}.fileactivities.fileCreated.call{}.path"="C:\Windows*"
我经常喜欢展示匹配数据。我使用 table 这样做:
source=test| search "behavior.system.processes.process{}.fileactivities.fileCreated.call{}.path"="C:\Windows*" | table "behavior.system.processes.process{}.fileactivities.fileCreated.call{}.path"
但是,问题是这显示了匹配事件的所有 fileCreated,而不仅仅是以 C:\Windows.
开头的文件
我该如何过滤?
@joe-jeff
我在 answers.splunk.com 上发布了答案。请查看下方 link.
https://answers.splunk.com/answers/745093/only-select-matching-json-data.html
我将 JSON 报告加载到 Splunk 中,这些报告有很多数组。当我搜索时:
source=test| search "behavior.system.processes.process{}.fileactivities.fileCreated.call{}.path"="C:\Windows*"
我经常喜欢展示匹配数据。我使用 table 这样做:
source=test| search "behavior.system.processes.process{}.fileactivities.fileCreated.call{}.path"="C:\Windows*" | table "behavior.system.processes.process{}.fileactivities.fileCreated.call{}.path"
但是,问题是这显示了匹配事件的所有 fileCreated,而不仅仅是以 C:\Windows.
开头的文件我该如何过滤?
@joe-jeff
我在 answers.splunk.com 上发布了答案。请查看下方 link.
https://answers.splunk.com/answers/745093/only-select-matching-json-data.html