#splunk #splunk-formula #splunk-calculation
#splunk #splunk-формула #splunk-вычисление
Вопрос:
У меня есть файл с именем «30 Jan 2020.json», который содержит 2 записи:
[
{
"Sender": "John",
"Recipient": "Alice",
"Subject": "Hello",
"MessageDate": "10 Jan 2020"
},
{
"Sender": "Jane",
"Recipient": "Bob",
"Subject": "Holiday"
"MessageDate": "15 Jan 2020"
}
]
Мой файл props.conf
[_json_for_azure]
INDEXED_EXTRACTIONS = json
KV_MODE = json
LINE_BREAKER = ([rn] )
NO_BINARY_CHECK = true
category = Structured
description = JavaScript Object Notation format. For more information, visit http://json.org/
disabled = false
pulldown_type = 1
и в inputs.conf я указал
[mscs_storage_blob://mycontainer]
account = mycontainername
blob_mode = append
collection_interval = 60
container_name = mycontainer
sourcetype = mscs:storage:json
Но когда эти данные поступают, я получаю только записи с именем _Time , и когда я разворачиваю любую из них, они показывают все записи json как одну строку в виде строки. Я хочу, чтобы фактические данные, такие как каждый отправитель, получатель, субъект, были получены в виде отдельных записей. Поэтому, когда я ищу отдельного отправителя, такого как John, я хочу, чтобы возвращалась только одна строка, а не все содержимое файла. Это поведение при использовании плагина Azure Splunk. Когда я загружал файл напрямую через опцию «Добавить данные» в главном меню, файл анализировался правильно с отдельными записями.