Я столкнулся с очень странной проблемой в моем поиске Splunk. У меня есть ввод данных из REST API, который возвращает многоуровневый (вложенный) ответ JSON:
Узел сущности имеет несколько узлов, каждый узел представляет одну точку доступа. Каждая точка доступа содержит поле ipAddress. Этот API вызывается каждые 5 минут, а ответ сохраняется в Splunk. Когда я выполняю поиск, чтобы получить список IP-адресов одного события, я не получаю их всех. По какой-то причине Splunk читает только первые семь узлов внутри объекта, потому что когда я это делаю:
source="rest://AccessPointDetailsAPI" | head 1
Splunk отображает в поле только следующие значения (7 значений, хотя их около 27):
Я использую демо-лицензию, если это важно. Почему я не вижу всех значений? Если я изменю свой поиск, чтобы искать определенный iPAddress в ответе, но не в списке, он не будет возвращать записи.
Спасибо и привет,
