Как убрать '|'из json экспортировать в спленк?

Question

Итак, я пытаюсь экспортировать через Python Spunk запросы вasticsearch. Я использую функцию json.dump () в python, которая работает и конвертируется точно так же, как и функция конвертации в SPLUNK Web. Моя проблема с этим заключается в том, что он дает мне одно поле с именем _RAW с каналами '|'Информация, столь упругая, не видит отдельные поля, но объединяет все вместе, например:

Data| nameId="123123" | exampleID='1234123' | fieldName="Example" ....etc

Я хочу иметь поле «data» или поле «fieldName», но не всеслился в одно большое поле с именем «raw»

Answer 1

Чтобы удалить поле _raw, вы можете использовать | fields - _raw в конце поиска.

Возможно, вам придется опубликовать свой код, если это не поможет, поскольку нам может потребоваться больше контекста

Answer 2

Я получил то, что мне было нужно, добавив | Fields * в конец моего запроса. Я запустил скрипт на python, который запрашивал splunk, но он работал в быстром режиме, а не в подробном, поэтому поля, которые мне нужны, были в формате _raw и не отображались отдельно, как в подробном.