我有两列每个事件我试图使用。我们称它们为col1和UknownRandomColumnName(简称urcn)。
urcn的键值随事件而变化,在搜索时间之前是未知的,但col1的值始终是urcn的键值。
如何使用col1的值作为数据id的键,以便在搜索中从urcn输出。事件的示例数据可能如下表所示:
==============================
| col1 | urcn1 | urcn2 |
==============================
| urcn1 | Value_1| |
------------------------------
| urcn2 | | Value_2|
------------------------------
下面是一个事件示例:
{
type: "fwagods",
fwagods: {
name:"someNameHere",
age:23
}
},
{
type: "zsaf",
zsaf: {
name:"someName2",
age:65
}
},
{
type: "smorflafaum",
smorflafaum: {
name:"SomeName3",
age:41
}
}
对表输入的查询应该产生:
Value_1
Value_2
查询事件格式输入应该产生:
name: someNameHere, age: 23
name: someName2, age: 65
name: SomeName3, age: 41
嘿,我能解决这个问题了。我们知道对象内部子值的属性名,但不知道其键。考虑到这一点,我们可以使用rex方法并从_raw字段中提取值。
| rex field=_raw "name":s?"?(?<new_name>.*?)"?(,|})" | table new_name
将输出
someNameHere
someName2
SomeName3
感谢@PM 77-1帮助我讨论这个问题。