从请求正文中提取相同字段的所有出现次数

问题描述投票：0回答：1

我在一个请求正文中多次具有相同的字段，因此需要查找每次出现的值。类似于subTypeCodeId字段。结果应该具有subTypeCodeId = 2subTypeCodeId = 3

{
  "Items": [
    {
      "emailId": "@stny.com",
      "item": {
        "subTypeCodeId": "2"
      }
    },
    {
      "emailId": "@comcast.com",
      "item": {
        "subTypeCodeId": "3"
      }
    }
  ]
}

splunk查询：index =“ gcp_prod_ecomm_cx_wallet”“ 1570081534220”“ API_NAME：wallet.addItemsToWalletBulk” | rex“ subTypeCodeId \ x5C \”：\ x5C \“（?? *）\”“

splunk splunk-query

1个回答

0
投票

使用max_match的rex选项。它将使subTypeCodeId成为包含所有值的多值字段。

index="gcp_prod_ecomm_cx_wallet" "1570081534220" "API_NAME:wallet.addItemsToWalletBulk" 
| rex max_match=0 "subTypeCodeId\x5C\":\x5C\"(?<subTypeCodeId>.*)\""

您可能还想研究可以解析json数据的spath命令。

最新问题

© www.soinside.com 2019 - 2024. All rights reserved.