{索引:“ myIndex”,field1:“ myfield1”,field2:{“ subField1”:“ mySubField1”,“ subField2”:145,“ subField3”:500},.....。}
SPL:index:“ myIndex”评估结果= if(field.subField2).....点运算符在SPL中工作吗?
我假设您的数据为JSON格式。如果是这样,您可以使用spath从结构化数据中提取字段。然后只需使用isnotnull
index="myIndex" | spath | where isnotnull(field2.subField2)