問題タブ [splunk-formula]

複数値フィールドから一致する文字列を抽出し、別の列に表示しようとしています。フィールドを区切り文字で分割し、mvexpand を使用してから、where/search を使用してそれらのデータを取得するさまざまなオプションを試しました。SPLUNK クエリでこの手間をかけずにこれを行う簡単な方法があるかどうかを見つけようとしていました。

例:複数値 column1 フィールドの下に、データが区切りコンマで区切られているとします。

column1 = abc1,test1,test2,abctest1,mail,send,mail2,sendtest2,new,code,results

区切り文字を使用してこの列を分割し、|eval column2=split(column1,",")regex/where/search を使用し*test*てこの列でデータを検索し、結果を返すことができましたが、結果を取得できましたが、column1 にはまだすべての値が表示abc1,test1,test2,abctest1,mail,send,mail2,sendtest2,new,code,results されています。column1と一致する単語のみを表示するか、新しいcolumn2testのエントリを表示します。test1,test2,abctest1,sendtest2*test*

よろしくお願いします。

2 つのレコードを含む「30 Jan 2020.json」というファイルがあります。

私の props.conf ファイルは

そしてinputs.confで私が指定した

しかし、このデータが取り込まれると、_Time というエントリのみが取得され、それらのいずれかを展開すると、すべてのレコード json が行として単一の文字列として表示されます。各送信者、受信者、件名などの実際のデータを個別のエントリとして取り込みたい。そのため、John などの個々の送信者を検索するときは、ファイルの内容全体を返すのではなく、1 行だけを返したいと考えています。これは、Azure Splunk プラグインを使用した場合の動作です。メインメニューから「データの追加」オプションを介してファイルを直接ロードすると、ファイルは個々のエントリで正しく解析されます。