Splunk запрос для вывода по статистике из журнала json

Question

У меня есть дополнительный журнал, где журнал будет в формате JSON или в виде необработанных данных.Необходимо написать дополнительный запрос с помощью команды stats.

index = * application_name = abc type = imp |статистика по статусу

Пробовал с командой "статистика по статусу", но noyhing сработал.Также проверяется как 'статистика подсчета по message_text: data', 'статистика подсчета по message_text: data: status'

Журнал, как указано ниже,

{"application_name": "abc", "Тип ":" чертенок "}," окно ":" Дев " "MESSAGE_TEXT": "{\" данных \ ": {\" ошибка \ ":" недействительные", \ "статус \": "200"}}

Нужно получить счет по статусу и набрать

Answer 1

@ Сатиш М

Можете ли вы попробовать это?

YOUR SEARCH |  rex field=_raw "\"message_text\":\"(?<data>.*)$" | rex mode=sed field=data "s/\\\\\"/\"/g" | eval _raw=data | kv | stats count by "data.status"

Мой пример поиска:

| makeresults | eval _raw="{\"application_name\":\"abc\",\"type\":\"imp\"},\"box\":\"dev\",\"message_text\":\"{\\\"data\\\":{\\\"error\\\":\"invalid\",\\\"status\\\":\"200\"}}"
| rex field=_raw "\"message_text\":\"(?<data>.*)$" | rex mode=sed field=data "s/\\\\\"/\"/g" | eval _raw=data | kv | stats count by "data.status"