2つのJSONオブジェクトをキーと値のペアで相互に関連付けるにはどうすればよいですか？

Question

何千ものJSONエントリがあり、キーと値のペアを介してオブジェクトのペアを相関させたいとします。

のエントリー＃44

{ speed: 55, distance: 18, time: 1481216486, color: red, }

エントリ＃323

{ speed: 75, distance: 38, time: 1481216486, color: blue, }

検索：だから、基本的にsourcetype=test_drive (DO THE MAGIC) | eval first_distance=distance(#44) | eval second_distance=distance(#323) | table time first_distance(#323) second_distance(#44)

私はキーを経由して、エントリのペアを見つけようとしています/別のキーと値のペアを使用してテーブルを作成します。

Answer 1

ここではトランザクションフィルタhttp://docs.splunk.com/Documentation/Splunk/6.5.1/SearchReference/Transactionを使用します。これは、あなたのjsonを_rawで正常にマージすることはありませんが、プロパティをクエリ/チャートで利用できるようにします。

この例では、唯一のフィールドであるため、イベントをtimeプロパティでマージしたいとします。

sourcetype=test_drive (DO THE MAGIC) | eval first_distance=distance(#44) | eval second_distance=distance(#323) | transaction time | table time first_distance(#323) second_distance(#44)