やり方
no_makeresults.spl
index=_internal
| head 1
| fields _raw _time
| eval _raw ="{\"administrativeState\":\"Unlocked\",\"apGroupId\":\"7954abec-de25-4758-bb5e-0d87be2f0254\",\"approvedTime\":\"1435500193785\",\"clientCount\":\"0\",\"configState\":\"newConfig\",\"connectionState\":\"Disconnect\",\"countryCode\":\"XX\",\"cpId\":\"15e2811e-a24f-4570-bd58-8f18c7e6ed91\",\"description\":\"\",\"dpId\":\"\",\"externalIp\":\"xxx.xx.xx.xx\",\"externalPort\":\"55540\",\"ip\":\"xxx.xx.xx.xx\",\"ipType\":\"Static\",\"ipv6\":\"\",\"ipv6Type\":null,\"isCriticalAP\":\"false\",\"lastSeenTime\":1454078438291,\"latitude\":null,\"location\":\"XXXXXXXXX\",\"longitude\":null,\"mac\":\"F0:B0:52:3B:F2:10\",\"meshHop\":0,\"meshRole\":null,\"model\":\"T300\",\"name\":\"XXXXXXXXX\",\"provisionMethod\":\"Discovered\",\"provisionStage\":null,\"registrationState\":\"Approved\",\"serial\":\"491484101277\",\"uptime\":\"81630\",\"version\":\"3.1.1.0.349\",\"wifi24Channel\":2,\"wifi50Channel\":104,\"zoneId\":\"d41a3397-b859-42cd-9332-e308a48069b2\"}"
index=_internal | head 1 | fields _time _rawで入れ物を作って、そこにJSONを放り込むだけ。
これまでは| makeresultでやっていたので、どうしてもStatistics表示になっていたけど、これで、JSONからの展開を模擬しやすくなった。
_Show syntax highlighted_表示だと
赤: フィールド名
緑: 文字列
紫: 数字
橙: null値
になっている。 externalPortとlastSeenTimeの色が違うのはそのせい。
まとめ
これまでは| makeresultsからやっていたけど、これからはこの手段でいこうと思う