小贝子编程

我们如何编写Splunk查询来查找subField2是否存在，如果存在，则获取所有subFiled2的计数

本文关键字：存在获取 subFiled2 如果查询 Splunk 查找 subField2 我们是否何编写 splunk splunk-query
更新时间 : 2023-09-19
英文 : How can we write the Splunk Query to find subField2 is present or not and if present get the counts of all subFiled2

{index:"myIndex"，field1:"myfield1"，field2:｛"subField1"："mySubField1"，"subField2"：145，"subField3"：500｝，。。。。。。}

SPL:index:"myIndex"eval result=if(field.subField2(。。。。。点运算符在SPL中工作吗？

我假设您的数据是JSON格式的。如果是，则可以使用spath从结构化数据中提取字段。然后用isnotnull检查字段是否存在

index="myIndex" | spath | where isnotnull(field2.subField2)

假设您的数据是JSON格式的，那么应该这样做：

index=myIndex sourcetype=srctp field2{}.subField2=*

如果这些是多值字段，则需要首先进行mvexpand

相关内容