如何解决SPLUNK:searchHead上的json字段重复
我拥有集群基础架构(简化了)
2个SH(群集)+ 2个分度器(群集)+重型转发器(名称为HF)
在HF上,我运行一些返回JSON文件的脚本,然后将其从HF转发到索引器(HF-> IndexCluser)
之后,我必须使用该数据在SH上进行一些搜索
当我发出搜索请求时,我已经正确解析了JSON,看起来很完美。但是,当我使用table
或只是扩展结果时,每个JSON字段都是重复的。
我在Heavy Forwarder上定义了一个自定义源类型(尽管我尝试了一些变体):
[just_json]
INDEXED_EXTRACTIONS = json
KV_MODE = none
AUTO_KV_JSON = false
NO_BINARY_CHECK = true
pulldown_type = true
category = Application
由于以下原因,我认为它乘以2:
在建立索引期间解析出JSON(或从“沉重”发送?)
在执行搜索期间,在searchHead上另外解析了JSON
我读过一些类似的问题(不确定集群的情况),但没有成功。
还是不知道。
一些事件样本:
表格视图: table query
解决方法
您所描述的很可能是JSON Blob中的 multivalue字段,而不是“重复的”字段。请分享一些示例数据以进行验证。
您在| table
中看到类似的内容吗?
FieldA | FieldB
^^^^^^^^^^^^^^^
BarA | FooB
| FooM
^^^^^^^^^^^^^^^
BarB | FooA
| FooG
如果是这样,则在您的JSON Blob中,多个值被隐藏在一个键值“对”中
您将希望mvexpand
这样在表中获得一对一的映射:
<SPL before |table>
| mvexpand FieldB
| table FieldA FieldB
<any other SPL you have>
这将为您生成一个像这样的表:
FieldA | FieldB
^^^^^^^^^^^^^^^
BarA | FooB
^^^^^^^^^^^^^^^
BarA | FooM
^^^^^^^^^^^^^^^
BarB | FooA
^^^^^^^^^^^^^^^
BarB | FooG
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。