问题描述
我想计算特定 JSON 结构的出现次数。例如,在我的活动中有一个名为 data 的字段,其值为 JSON 。但是这个字段可以有多种结构。喜欢:
data = {a: "b"}
data= {d: "x",h: "e"}
...
现在我想知道有多少事件具有每个 JSON 结构的数据,我不关心值,只有键很重要。
解决方法
尝试以下两种方法之一:
index=ndx sourcetype=srctp data=*
| stats dc(data) as unique_data
或
index=ndx sourcetype=srctp data=*
| stats values(data) as data_vals