全部产品
Search

搜索本产品

    日志服务:解析与更新JSON数据

    文档中心

    日志服务:解析与更新JSON数据

    更新时间:May 29, 2026

    场景一:展开和提取JSON对象

    日志中包含JSON对象时,您可以通过parse-jsonjson_extract_scalar 或者json_extract函数展开和提取对象。

    示例1:展开一层JSON

    例如,展开data字段值中的第一层键值对。

    • 原始日志

      data: {"k1": "v1", "k2": {"k3": "v3", "k4": "v4"}}

    • spl 语句

      * | parse-json data

    • 加工结果

      data: {"k1": "v1", "k2": {"k3": "v3", "k4": "v4"}}
k1: v1
k2: {"k3": "v3", "k4": "v4"}

    示例2:完全展开JSON对象

    例如,完全展开data字段值中的各层键值对。

    • 原始日志

      data: {"k1": "v1", "k2": {"k3": "v3", "k4": "v4"}}

    • spl 语句

      * | parse-json data 
  | extend 
      k3 = json_extract_scalar(k2, '$.k3'),
      k4 = json_extract_scalar(k2, '$.k4')
  | project k1, k3, k4,data

    • 加工结果

      data:{"k1": "v1", "k2": {"k3": "v3", "k4": "v4"}}
k1:v1
k3:v3
k4:v4

    示例3:指定字段名精确提取JSON对象值

    指定JSON对象中的键名,精确提取目标键值对。

    • 原始日志

      data: {
	"foo": {
    	"bar": "baz"
    },
    "peoples": [{
        "name": "xh",
        "sex": "girl"
    }, {
        "name": "xm",
        "sex": "boy"
    }]
}

    • spl 语句

      * | extend 
    name = json_extract_scalar(data, '$.peoples[0].name'),
    bar = json_extract_scalar(data, '$.foo.bar'),
    foo_obj = json_extract(data, '$.foo')

    • 加工结果

      data:{"foo": {"bar": "baz"}, "peoples": [{"name": "xh", "sex": "girl"}, {"name": "xm", "sex": "boy"}]}
foo:{"bar": "baz"}
bar:baz
name:xh
names:["xh", "xm"]

    场景二:提取JSON对象值

    日志中包含JSON对象时,您可以通过json_extract_scalar函数提取JSON对象值。

    示例1:JSON对象包含目标字段

    例如,提取JSON对象中的键值对"k1":"v1",并将键名更改为key1

    • 原始日志

      data: {"k1":"v1","k2":"v2"}

    • spl 语句

      * | extend key1 = json_extract_scalar(data, '$.k1')

    • 加工结果

      data:{"k1": "v1", "k2": "v2"}
key1:v1

    示例2:JSON对象不包含目标字段

    例如,提取JSON对象中的键值对,当目标键不存在时,新增一个键key3,并使用默认值为其赋值。

    • 原始日志

      data: {"k1":"v1","k2":"v2"}

    • spl 语句

      * | extend key3 = coalesce(json_extract_scalar(data, '$.k3'), 'default')

    • 加工结果

      data:{"k1": "v1", "k2": "v2"}
key3:default

    场景三:更新JSON对象值

    日志中包含JSON对象时,您可以通过replace函数更新JSON对象值。

    例如,修改JSON对象中k1的值。

    • 原始日志

      data: {"k1":"v1","k2":"v2"}

    • spl 语句

      * | extend data = replace(data, '"k1":"v1"', '"k1":"new_k1"')

    • 加工结果

      data:{"k1": "new_k1", "k2": "v2"}

    场景四、将值解析为JSON对象

    您可以使用json_parse函数将字符串解析为JSON对象。

    例如,data字段值为字符串,您可以将其转换为JSON对象。

    • 原始日志

      data: "pre{ \"k1\": \"v1\", \"k2\": \"v2\"}"

    • spl 语句

      * | extend json_object = replace(data, 'pre', '')
| extend json_object=json_parse(json_object)

    • 加工结果

      data:pre{ "k1": "v1", "k2": "v2"}
json_object:{"k1": "v1", "k2": "v2"}