我在 splunk 中有一个名为 group 的字段,它是一个类似的对象
group = { name: "bla", age: 20 }
我希望能够将其显示为列表,或者如果不是在我的统计数据中显示为字符串。
我尝试使用显而易见的东西。
stats values(group) as status by ....
我可以使用 group.name 进行向下钻取,但如果名称为空,我不希望名称显示在统计信息中。
我有什么想法可以解决这个问题。
假设您的示例
statswhere之后添加此
stats 子句
| where isnotnull(status)