Я загружаю отчеты JSON в Splunk, и эти отчеты имеют много массивов. Когда я ищу:
source=test| search "behavior.system.processes.process{}.fileactivities.fileCreated.call{}.path"="C:\\Windows*"
Мне часто нравится показывать соответствующие данные. Я использую таблицу, чтобы сделать это:
source=test| search "behavior.system.processes.process{}.fileactivities.fileCreated.call{}.path"="C:\\Windows*" | table "behavior.system.processes.process{}.fileactivities.fileCreated.call{}.path"
Однако проблема в том, что это показывает мне все fileCreated соответствующего события, а не только тот, который начинается с C: \ Windows.
Как мне это отфильтровать?