Как удалить "|" из json-экспорта в splunk?

Итак, я пытаюсь экспортировать через запросы splunk python в elasticsearch. Я использую функцию json.dump () в python, которая работает и преобразуется точно так же, как функция преобразования SPLUNK Web. Моя проблема в том, что он дает мне одно поле с именем _RAW с вертикальными чертами '|' информация, поэтому эластичный поиск не видит отдельные поля, но объединяет все вместе следующим образом:

Data| nameId="123123" | exampleID='1234123' | fieldName="Example" ....etc

Я хочу иметь поле «данные» или поле «fieldName», не все из которых сгруппированы в одно большое поле с именем «raw».


python splunk
person Papaya2226    schedule 10.10.2019    source источник

Ответы (2)


arrow_upward
2
arrow_downward

Чтобы удалить поле _raw, вы можете использовать | fields - _raw в конце поиска.

Возможно, вам придется опубликовать свой код, если это не поможет, поскольку нам может потребоваться больше контекста.

person Simon Duff    schedule 10.10.2019

arrow_upward
0
arrow_downward

Я получил то, что мне нужно, добавив | Fields * в конец моего запроса. Я запускал скрипт python, который запрашивал splunk, но он работал в быстром режиме, а не в подробном, поэтому поля, которые мне нужны, были в формате _raw, а не отображались индивидуально, как в подробном.

person Papaya2226    schedule 21.10.2019