Splunk(스플렁크) - spath 설명, 사용법

spath란? 

XML, JSON 등에서 특정한 데이터를 가져올 수 있는 커맨드. spath를 통해 하나 이상의 필드를 저장할 수 있습니다. 

spath는 eval 커맨드와 함께 사용할 수 있습니다. 추가적인 정보는 여기(evaluation functions)서 확인해 보세요.

 

문법(Syntax)

spath [input=<field>] [output=<field>] [path=<datapath> | <datapath>]

참고로 path는 생략가능합니다. 

- spath path=request.method 

- spath request.method

 

예시 

아래 쿼리를 실행시 INTERESTING FIELDS에 추가 되는 것을 확인할 수 있습니다. 

output을 지정하지 않으면 입력된 path가 필드명이 됩니다. 

 

쿼리 예  

index=main host="xxx" | spath path=response.statusCode | spath path=request.method

spath를 eval 커맨드와 함께 사용한 예

index=main host="xxx" | eval myStatusCode=spath(_raw, "response.statusCode")

이 경우 myStatusCode라는 이름으로 새로운 필드가 INTERESTING FIELDS에 추가 됩니다.

 

검색 대상이 되는 JSON 형식 데이터 입니다.

   {
      "request":{
         "method":"POST",
         "..."
      },
      "response":{
         "statusCode":200,
         "..."
      }
   }

 

 

Reference : https://docs.splunk.com/Documentation/Splunk/8.2.5/SearchReference/Spath