Если ваши данные не состоят из других JSON, вы можете использовать регулярные выражения для извлечения каждой записи и обработки ее таким образом. Проверьте этот пример.
| makeresults count=5
| eval random=random()
| eval _raw="[[\"A\",\"AA\"],[\"B\",\"BB\"],[\"C\",\"CC\"]]"
| rex max_match=0 field=_raw "(?<d>\[[^\[\]]+\])"
| mvexpand d
| streamstats count by random
| eval data_{count}=d
| fields _time, data_*, random
| stats values(_time) as _time, values(*) AS * by random
| fields - random
Я добавил некоторые дополнительные сложности для LOL. streamstats используется для получения инкрементного счетчика, который затем используется для создания некоторых новых имен столбцов в следующем порядке: data_0, data_1, et c ... В начале генерируется случайное число и включается с событием, так что вы можете объединить все разделенные события в конце.