如何评估代表另一个字段长度的 Splunk 字段?
How to evaluate a Splunk field which represents the length of another field?
我已将包含 JSON 行的以下示例文件加载到 Splunk 中:
{"duration":2134,"input":["foo","bar"],"level":"info","msg":"Processed input","time":"2022-04-07T08:10:23.14427-07:00"}
{"duration":997,"input":["baz"],"level":"info","msg":"Processed input","time":"2022-04-07T08:10:23.144526-07:00"}
Splunk 已解析这些字段,因此 input
字段是一个列表:
我想生成输入和 duration
字段长度(元素数量)的 table。在 https://docs.splunk.com/Documentation/StreamProcessor/standard/FunctionReference/List#length.28input.29 之后,我尝试了
msg="Processed input"
| eval N=length(input)
| table N, duration
但这不会为 N
:
产生任何值
确定 N
的正确方法是什么?
使用 mvcount('input{}')
代替 length(input)
编辑:在 input{}
两边加上单引号,因为 {
、}
是特殊字符。
我已将包含 JSON 行的以下示例文件加载到 Splunk 中:
{"duration":2134,"input":["foo","bar"],"level":"info","msg":"Processed input","time":"2022-04-07T08:10:23.14427-07:00"}
{"duration":997,"input":["baz"],"level":"info","msg":"Processed input","time":"2022-04-07T08:10:23.144526-07:00"}
Splunk 已解析这些字段,因此 input
字段是一个列表:
duration
字段长度(元素数量)的 table。在 https://docs.splunk.com/Documentation/StreamProcessor/standard/FunctionReference/List#length.28input.29 之后,我尝试了
msg="Processed input"
| eval N=length(input)
| table N, duration
但这不会为 N
:
确定 N
的正确方法是什么?
使用 mvcount('input{}')
代替 length(input)
编辑:在 input{}
两边加上单引号,因为 {
、}
是特殊字符。