如何在 Splunk 中聚合或加入两个 JSON 数据集?
How to aggregate or join two JSON datasets in Splunk?
我尝试建立一个概述我的应用程序的一些流程步骤。
我生成了两个 JSON 文档
{
"requestID": "abc-123",
"username": "ringo",
}
和
{
"requestID": "abc-123",
"favoriteCar": "Lada"
}
好的,现在我还有其他类似的条目:
- abc-456/保罗/菲亚特
- bcd-987/乔治/塔尔博特
等等...由 requestID
链接
现在我想做一个 table 向我展示:
ID | Username | Car
---------|--------------|---------------
abc-123 | ringo | Lada
abc-456 | paul | Fiat
bcd-987 | george | Talbot
所以我的问题是:如何进行这些聚合?
亲切的问候
马库斯
聚合是通过 stats 命令完成的。提取字段后,可以使用 stats values(*) as * by requestID.
对它们进行分组
我尝试建立一个概述我的应用程序的一些流程步骤。 我生成了两个 JSON 文档
{
"requestID": "abc-123",
"username": "ringo",
}
和
{
"requestID": "abc-123",
"favoriteCar": "Lada"
}
好的,现在我还有其他类似的条目:
- abc-456/保罗/菲亚特
- bcd-987/乔治/塔尔博特
等等...由 requestID
链接现在我想做一个 table 向我展示:
ID | Username | Car
---------|--------------|---------------
abc-123 | ringo | Lada
abc-456 | paul | Fiat
bcd-987 | george | Talbot
所以我的问题是:如何进行这些聚合?
亲切的问候
马库斯
聚合是通过 stats 命令完成的。提取字段后,可以使用 stats values(*) as * by requestID.