{index: "myIndex", field1: "myfield1", field2: {"subField1": "mySubField1", "subField2": 145, "subField3": 500}, ... ... }
SPL: index: "myIndex" eval result = if (field.subField2) ..... оператор точки работает в SPL?
Предполагая, что ваши данные в формате JSON, это должно сделать это:
index=myIndex sourcetype=srctp field2{}.subField2=*
Если это многозначные поля, вам нужно будет сделать mvexpand сначала
mvexpand
Я предполагаю, что ваши данные в формате JSON. Если это так, вы можете использовать spath для извлечения полей из ваших структурированных данных. Затем просто проверьте, присутствует ли поле с помощью isnotnull
spath
isnotnull
index="myIndex" | spath | where isnotnull(field2.subField2)