splunk 根据 json 属性 排除结果
splunk exclude results based on json property
当我使用此搜索运算符 search "response.header.status"!=200 时,splunk 将仅包含 response.header.status 路径存在的结果。
所以这里的搜索参数隐含地强制要求 属性 存在,而不管值
是否有一种搜索变体可以让我根据路径值排除结果,但如果路径不存在则仍包含结果?
构造 foo != bar 表示“显示“foo”字段不具有值“bar”的事件。这意味着“foo”字段必须存在。
要查找“foo”字段不存在或值不是“bar”的事件,请使用此non-intuitive 搜索:
search NOT "response.header.status" = 200
当我使用此搜索运算符 search "response.header.status"!=200 时,splunk 将仅包含 response.header.status 路径存在的结果。
所以这里的搜索参数隐含地强制要求 属性 存在,而不管值
是否有一种搜索变体可以让我根据路径值排除结果,但如果路径不存在则仍包含结果?
构造 foo != bar 表示“显示“foo”字段不具有值“bar”的事件。这意味着“foo”字段必须存在。
要查找“foo”字段不存在或值不是“bar”的事件,请使用此non-intuitive 搜索:
search NOT "response.header.status" = 200