Splunk Searchはフィールド上のすべてのイベントデータを返しません。

Question

Splunk検索で非常に奇妙な問題に直面しています。エンティティノードは、複数のノードを有し、各ノードは一つのアクセスポイントを表し

：私は、マルチレベル（ネスト）JSONレスポンスを返すRESTのAPIからのデータ入力を有します。各アクセスポイントには、ipAddressというフィールドがあります。 このAPIは5分ごとに呼び出され、応答はSplunkに格納されます。私がのIPアドレスのリストを1つのイベントから取得するために検索すると、それらのすべてを取得することはできません。 Splunkは私が行うときので、エンティティの内部のみ最初の7つのノードを読んでいるようないくつかの理由で、次のとおりです。（27の周りにあるものの7値）

source="rest://AccessPointDetailsAPI" | head 1 

Splunkは、フィールド上でのみ、次の値を示しています。

ことが重要ならば、私はデモライセンスを使用しています。なぜ私はすべての値を見ることができないのですか？特定のiPAddressを探すために検索を変更したが、リストにない場合は、レコードを返さない。

ありがとうございます、

Answer 1

私は今問題を理解していると思います。イベントは大きなjsonで、Splunkは大きなjsonのすべてのフィールドを適切に解析していません。

は、我々はSPATHに必要な特定のフィールドを解析するためにSplunkを伝え、フィールドを指定する必要があります。

yoursearch | spath output=myIpAddress path=queryResponse.entity{}.accessPointDetailsDTO.ipAddress | table myIpAddress 

http://docs.splunk.com/Documentation/Splunk/5.0.4/SearchReference/Spath

をしかし、私はまた考えるかもしれないデータ入力がする必要がある場合に分析することが重要です1つの大きなイベントではなく、複数のイベントに分割されます。