splunk - splunk 根据 json 属性排除结果
问题描述
当我使用这个搜索运算符search "response.header.status"!=200 时,splunk 将只包含response.header.status路径存在的结果。
所以这里的搜索参数隐式地强制要求该属性存在,而不管值是多少
是否有一种搜索变体可以让我根据路径的值排除结果,但如果路径不存在,仍然包含结果?
解决方案
该构造的foo != bar意思是“显示“foo”字段没有值“bar”的事件。这意味着“foo”字段必须存在。
要查找“foo”字段不存在或具有“bar”以外的值的事件,请使用以下非直观搜索:
search NOT "response.header.status" = 200
推荐阅读
- php - 如何在 Laravel 中使用大量的翻译?
- python - Pandas - 从数据框中完全删除重复项
- c++ - Arduino / C++ - 如果 INT 值 = X 然后
- server - 我想定期(每 10 分钟)运行一个 python 脚本。我有什么选择?
- firebase - 批量写入 Firestore 的最大大小(以 MB 为单位)是多少
- java - ServletContext 无法通过将其作为 Spring MVC 中的参数传递来注入
- c++ - C ++:在另一个类中初始化参数化类的对象
- javascript - 如何通过 Ajax 将视图模型发送到控制器
- php - 我构建的 PHP 代码并不能适用于所有场景,它有什么问题?
- c++ - 继承和嵌套类