私は次のようなsplunkデータを持っています:
{"@timestamp":"2019-02-26T05:12:30.090+00:00","@version":"1","メッセージ":"\n=========== ====>\nリクエストの詳細:\n[requestId:abc118f2-qqff-10bb-a900-33cc9b88e333]\n[requestMethod = GET]\n[requestUrl = http://test.api.tmp.com/rawQuantities] \n[requestHeaders = {testing-id=Root=abc-123-xyz, x-forwarded-proto=https, host=test.api.tmp.com, x-forwarded-port=443, content-type=application/ json, x-forwarded-for=xx.xx.xx.xx, accept-encoding=gzip,deflate, accept=application/json, user-agent=Apache-HttpClient/4.5.2 (Java/1.8.0_181)}] \n[requestBodySize: 0]\n<================>\n ... ... }
次のようなIP があります:x-forwarded-for=xx.xx.xx.xx
一意の IP をすべて除外したいだけです。
私は次のようないくつかの組み合わせを試しました:
index=api_dev sourcetype="test-api" message="*" | spath output=field path=_raw.requestDetails.x-forwarded-for
index=api_dev sourcetype="test-api" message=x-forwarded-for*