2 つのレコードを含む「30 Jan 2020.json」というファイルがあります。
[
{
"Sender": "John",
"Recipient": "Alice",
"Subject": "Hello",
"MessageDate": "10 Jan 2020"
},
{
"Sender": "Jane",
"Recipient": "Bob",
"Subject": "Holiday"
"MessageDate": "15 Jan 2020"
}
]
私の props.conf ファイルは
[_json_for_azure]
INDEXED_EXTRACTIONS = json
KV_MODE = json
LINE_BREAKER = ([\r\n]+)
NO_BINARY_CHECK = true
category = Structured
description = JavaScript Object Notation format. For more information, visit http://json.org/
disabled = false
pulldown_type = 1
そしてinputs.confで私が指定した
[mscs_storage_blob://mycontainer]
account = mycontainername
blob_mode = append
collection_interval = 60
container_name = mycontainer
sourcetype = mscs:storage:json
しかし、このデータが取り込まれると、_Time というエントリのみが取得され、それらのいずれかを展開すると、すべてのレコード json が行として単一の文字列として表示されます。各送信者、受信者、件名などの実際のデータを個別のエントリとして取り込みたい。そのため、John などの個々の送信者を検索するときは、ファイルの内容全体を返すのではなく、1 行だけを返したいと考えています。これは、Azure Splunk プラグインを使用した場合の動作です。メインメニューから「データの追加」オプションを介してファイルを直接ロードすると、ファイルは個々のエントリで正しく解析されます。