Как разобрать динамический массив JSON

Я пытаюсь проанализировать FrontDoorWebApplicationFirewallLog, в котором есть столбец AdditionalFields, как описано ниже. Я подумал, что могу запустить mv-expand, а затем оценить bag_unpack для разбора этого столбца. Однако mv-expand не влияет на столбец details_matches, он просто возвращает исходный ввод. Я бы хотел, чтобы каждая строка JSON разбивалась на отдельную строку. Как этого добиться?

datatable(Column: string) [ 
   '{\"socketIP\":\"1.1.1.6\",\"details_matches\":\"[\\r\\n  {\\r\\n    \\\"matchVariableName\\\": \\\"CookieValue:search.settings.breadcrumb\\\",\\r\\n    \\\"matchVariableValue\\\": \\\"[{\\\\\\\"ownerId\\\\\\\":null,\\\\\\\"folderId\\\\\\\":null,\\\\\\\"folderName\\\\\\\":\\\\\\\"Saved Settings\\\\\\\",\\\\\\\"searchLevel\\\\\\\":0,\\\\\\\"isSubFolderForMcApp\\\\\\\":false},{\\\\\\\"ownerId\\\\\\\":60409,\\\\\\\"folderId\\\\\\\":29193,\\\\\\\"folderName\\\\\\\":\\\\\\\"My saved settings\\\\\\\",\\\\\\\"searchLevel\\\\\\\":0,\\\\\\\"isSubFolderForMcApp\\\\\\\":false}]\\\"\\r\\n  },\\r\\n  {\\r\\n    \\\"matchVariableName\\\": \\\"CookieValue:user.trail\\\",\\r\\n    \\\"matchVariableValue\\\": \\\"[{\\\\\\\"url\\\\\\\":\\\\\\\"pletion\\\\\\\",\\\\\\\"referrer\\\\\\\":\\\\\\\"Last page\\\\\\\",\\\\\\\"time\\\\\\\":\\\\\\\"Tue Nov 29 2022 07:09:00 GMT+0100 (Central European Standard Time)\\\\\\\"},{\\\\\\\"url\\\\\\\":\\\\\\\"Completion\\\\\\\",\\\\\\\"referrer\\\\\\\":\\\\\\\"Last page\\\\\\\",\\\\\\\"time\\\\\\\":\\\\\\\"Tue Nov 29 2022 07:09:04 GMT+0100 (Central European Standard Time)\\\\\\\"},{\\\\\\\"url\\\\\\\":\\\\\\\"rojectslixx\\\\\\\",\\\\\\\"referrer\\\\\\\":\\\\\\\"Last page\\\\\\\",\\\\\\\"time\\\\\\\":\\\\\\\"Tue Nov 29 2022 08:19:51 GMT+0100 (Central European Standard Time)\\\\\\\"},{\\\\\\\"url\\\\\\\":\\\\\\\"67\\\\\\\",\\\\\\\"referrer\\\\\\\":\\\\\\\"Last page\\\\\\\",\\\\\\\"time\\\\\\\":\\\\\\\"Tue Nov 29 2022 08:19:59 GMT+0100 (Central European Standard Time)\\\\\\\"},{\\\\\\\"url\\\\\\\":\\\\\\\"913384\\\\\\\",\\\\\\\"referrer\\\\\\\":\\\\\\\"Last page\\\\\\\",\\\\\\\"time\\\\\\\":\\\\\\\"Tue Nov 29 2022 08:20:04 GMT+0100 (Central European Standard Time)\\\\\\\"}]\\\"\\r\\n  }\\r\\n]\",\"details_msg\":\"Detects MySQL comment-/space-obfuscated injections and backtick termination\"}'
]
| extend Column_d = todynamic(Column)
| extend socketIp_s = Column_d.socketIP
| extend details_msg = Column_d.details_msg
| extend details_matches = Column_d.details_matches
| project socketIp_s, details_matches, details_msg, Column_d

изменить: на вопрос теперь ответил Дэвид. Еще бы знать, почему

| extend Column_d = todynamic(Column)
| extend details_matches = Column_d.details_matches
| mv-expand details_matches 

не влияет на столбец details_matches, в то время как ответ ниже влияет. Это почему?

(1) Значение, извлеченное из динамического поля, также является динамическим. (2) parse_json работает со строками. Учитывая динамическое значение в качестве входных данных, он возвращает это значение как есть. (1) + (2) ==> mv-expand parse_json(tostring(details_matches))

David דודו Markovitz 29.11.2022 12:56

Спасибо, это объясняет!

dueland 29.11.2022 13:57
Стоит ли изучать PHP в 2023-2024 годах?
Стоит ли изучать PHP в 2023-2024 годах?
Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.
Приемы CSS-макетирования - floats и Flexbox
Приемы CSS-макетирования - floats и Flexbox
Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...
Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest
В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...
Концепция локализации и ее применение в приложениях React ⚡️
Концепция локализации и ее применение в приложениях React ⚡️
Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...
Пользовательский скаляр GraphQL
Пользовательский скаляр GraphQL
Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...
0
2
54
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий
datatable(Column: string) [ 
   '{\"socketIP\":\"1.1.1.6\",\"details_matches\":\"[\\r\\n  {\\r\\n    \\\"matchVariableName\\\": \\\"CookieValue:search.settings.breadcrumb\\\",\\r\\n    \\\"matchVariableValue\\\": \\\"[{\\\\\\\"ownerId\\\\\\\":null,\\\\\\\"folderId\\\\\\\":null,\\\\\\\"folderName\\\\\\\":\\\\\\\"Saved Settings\\\\\\\",\\\\\\\"searchLevel\\\\\\\":0,\\\\\\\"isSubFolderForMcApp\\\\\\\":false},{\\\\\\\"ownerId\\\\\\\":60409,\\\\\\\"folderId\\\\\\\":29193,\\\\\\\"folderName\\\\\\\":\\\\\\\"My saved settings\\\\\\\",\\\\\\\"searchLevel\\\\\\\":0,\\\\\\\"isSubFolderForMcApp\\\\\\\":false}]\\\"\\r\\n  },\\r\\n  {\\r\\n    \\\"matchVariableName\\\": \\\"CookieValue:user.trail\\\",\\r\\n    \\\"matchVariableValue\\\": \\\"[{\\\\\\\"url\\\\\\\":\\\\\\\"pletion\\\\\\\",\\\\\\\"referrer\\\\\\\":\\\\\\\"Last page\\\\\\\",\\\\\\\"time\\\\\\\":\\\\\\\"Tue Nov 29 2022 07:09:00 GMT+0100 (Central European Standard Time)\\\\\\\"},{\\\\\\\"url\\\\\\\":\\\\\\\"Completion\\\\\\\",\\\\\\\"referrer\\\\\\\":\\\\\\\"Last page\\\\\\\",\\\\\\\"time\\\\\\\":\\\\\\\"Tue Nov 29 2022 07:09:04 GMT+0100 (Central European Standard Time)\\\\\\\"},{\\\\\\\"url\\\\\\\":\\\\\\\"rojectslixx\\\\\\\",\\\\\\\"referrer\\\\\\\":\\\\\\\"Last page\\\\\\\",\\\\\\\"time\\\\\\\":\\\\\\\"Tue Nov 29 2022 08:19:51 GMT+0100 (Central European Standard Time)\\\\\\\"},{\\\\\\\"url\\\\\\\":\\\\\\\"67\\\\\\\",\\\\\\\"referrer\\\\\\\":\\\\\\\"Last page\\\\\\\",\\\\\\\"time\\\\\\\":\\\\\\\"Tue Nov 29 2022 08:19:59 GMT+0100 (Central European Standard Time)\\\\\\\"},{\\\\\\\"url\\\\\\\":\\\\\\\"913384\\\\\\\",\\\\\\\"referrer\\\\\\\":\\\\\\\"Last page\\\\\\\",\\\\\\\"time\\\\\\\":\\\\\\\"Tue Nov 29 2022 08:20:04 GMT+0100 (Central European Standard Time)\\\\\\\"}]\\\"\\r\\n  }\\r\\n]\",\"details_msg\":\"Detects MySQL comment-/space-obfuscated injections and backtick termination\"}'
]
| extend Column = parse_json(Column)
| evaluate bag_unpack(Column)
| mv-expand parse_json(details_matches)
| evaluate bag_unpack(details_matches)
| mv-expand parse_json(matchVariableValue)
| evaluate bag_unpack(matchVariableValue)
details_msg IP-адрес сокета matchVariableName идентификатор папки имя папки isSubFolderForMcApp идентификатор владельца реферер уровень поиска время URL Обнаруживает инъекции MySQL, запутанные комментариями/пробелами, и завершение обратной кавычки 1.1.1.6 CookieValue:search.settings.breadcrumb Сохраненные настройки ЛОЖЬ 0 Обнаруживает инъекции MySQL, запутанные комментариями/пробелами, и завершение обратной кавычки 1.1.1.6 CookieValue:search.settings.breadcrumb 29193 Мои сохраненные настройки ЛОЖЬ 60409 0 Обнаруживает инъекции MySQL, запутанные комментариями/пробелами, и завершение обратной кавычки 1.1.1.6 CookieValue:user.trail Последняя страница Вт, 29 ноября 2022 г., 07:09:00 GMT+0100 (центральноевропейское стандартное время) полнота Обнаруживает инъекции MySQL, запутанные комментариями/пробелами, и завершение обратной кавычки 1.1.1.6 CookieValue:user.trail Последняя страница Вт, 29 ноября 2022 г., 07:09:04 GMT+0100 (центральноевропейское стандартное время) Завершение Обнаруживает инъекции MySQL, запутанные комментариями/пробелами, и завершение обратной кавычки 1.1.1.6 CookieValue:user.trail Последняя страница Вт, 29 ноября 2022 г., 08:19:51 GMT+0100 (центральноевропейское стандартное время) rojectslixx Обнаруживает инъекции MySQL, запутанные комментариями/пробелами, и завершение обратной кавычки 1.1.1.6 CookieValue:user.trail Последняя страница Вт, 29 ноября 2022 г., 08:19:59 GMT+0100 (центральноевропейское стандартное время) 67 Обнаруживает инъекции MySQL, запутанные комментариями/пробелами, и завершение обратной кавычки 1.1.1.6 CookieValue:user.trail Последняя страница Вт, 29 ноября 2022 г., 08:20:04 GMT+0100 (центральноевропейское стандартное время) 913384

Скрипка

Спасибо! Я не совсем понимаю разницу между попыткой mv-expand динамического значения, как я это сделал, и mv-expand строки, для которой вы запускаете parse_json. Могли бы вы объяснить?

dueland 29.11.2022 11:25

Я не знаю, что вы пробовали. Вы можете добавить код к своему вопросу, и я прокомментирую.

David דודו Markovitz 29.11.2022 11:55

Другие вопросы по теме