使用 spath 从 Splunk 中的 json 中提取值
Extracting values from json in Splunk using spath
我正在尝试以下查询
| makeresults | eval _raw="{\"records\":[{\"Name\":\"name\"},{\"Name\":\"worst_food\",\"Value\":\"salad\"},{\"Name\":\"ex-wife\",\"Value\":\"Tammy\"}]}" | spath
此 returns table 如下所示在 Splunk 中。
records{}.name records().value
name salad
worst_food Tammy
ex-wife
但我期待价值像
records{}.name records().value
name
worst_food salad
ex-wife Tammy
有人遇到过这个问题吗?您能否分享一些有关如何得出预期结果的知识。
@Dhana
你能试试这个吗?
| makeresults
| eval _raw="{\"records\":[{\"Name\":\"name\"},{\"Name\":\"worst_food\",\"Value\":\"salad\"},{\"Name\":\"ex-wife\",\"Value\":\"Tammy\"}]}"
| spath path=records{} output=records | mvexpand records | rename records as _raw | kv | table Name Value
谢谢
我正在尝试以下查询
| makeresults | eval _raw="{\"records\":[{\"Name\":\"name\"},{\"Name\":\"worst_food\",\"Value\":\"salad\"},{\"Name\":\"ex-wife\",\"Value\":\"Tammy\"}]}" | spath
此 returns table 如下所示在 Splunk 中。
records{}.name records().value
name salad
worst_food Tammy
ex-wife
但我期待价值像
records{}.name records().value
name
worst_food salad
ex-wife Tammy
有人遇到过这个问题吗?您能否分享一些有关如何得出预期结果的知识。
@Dhana
你能试试这个吗?
| makeresults
| eval _raw="{\"records\":[{\"Name\":\"name\"},{\"Name\":\"worst_food\",\"Value\":\"salad\"},{\"Name\":\"ex-wife\",\"Value\":\"Tammy\"}]}"
| spath path=records{} output=records | mvexpand records | rename records as _raw | kv | table Name Value
谢谢