https://community.splunk.com/t5/Splunk-Search/Splunk-Query-to-form-a-table-with-multiple-JSON-fields/m-p/602120#M209587 <P><STRONG>If site1 has only 2 countries and site2 has one extra platform, then the expected result should be like below.</STRONG></P><TABLE border="1" width="83.33333333333334%"><TBODY><TR><TD width="16.666666666666668%" height="47px">Origin</TD><TD width="16.666666666666668%" height="47px">Platform</TD><TD width="16.666666666666668%" height="47px">Platform Count</TD><TD width="16.666666666666668%" height="47px">Country</TD><TD width="16.666666666666668%" height="47px">Country Count</TD></TR><TR><TD width="16.666666666666668%" height="25px"><A href="https://www.site1.com/" target="_blank" rel="nofollow noopener noreferrer">https://www.site1.com</A></TD><TD width="16.666666666666668%" height="25px">Android</TD><TD width="16.666666666666668%" height="25px">10</TD><TD width="16.666666666666668%" height="25px">US</TD><TD width="16.666666666666668%" height="25px">22</TD></TR><TR><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%" height="25px">macOS</TD><TD width="16.666666666666668%" height="25px">12</TD><TD width="16.666666666666668%" height="25px">UK</TD><TD width="16.666666666666668%" height="25px">3</TD></TR><TR><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%" height="25px">Windows</TD><TD width="16.666666666666668%" height="25px">6</TD><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%" height="25px">&nbsp;</TD></TR><TR><TD width="16.666666666666668%" height="25px"><A href="https://www.site2.com/" target="_blank" rel="nofollow noopener noreferrer">https://www.site2.com</A></TD><TD width="16.666666666666668%">Android</TD><TD width="16.666666666666668%">4</TD><TD width="16.666666666666668%">US</TD><TD width="16.666666666666668%">8</TD></TR><TR><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%">macOS</TD><TD width="16.666666666666668%">4</TD><TD width="16.666666666666668%">UK</TD><TD width="16.666666666666668%">1</TD></TR><TR><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%">Windows</TD><TD width="16.666666666666668%">2</TD><TD width="16.666666666666668%">AU</TD><TD width="16.666666666666668%">1</TD></TR><TR><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%" height="25px">IND</TD><TD width="16.666666666666668%" height="25px">5</TD></TR></TBODY></TABLE> Thu, 16 Jun 2022 15:54:29 GMT shashaikhhh 2022-06-16T15:54:29Z https://community.splunk.com/t5/Splunk-Search/Splunk-Query-to-form-a-table-with-multiple-JSON-fields/m-p/602089#M209570 <P>Below is my splunk raw event data<BR /><BR />{<BR />"additional": {<BR />"method": "POST",<BR />"url": "/api/resource/getContentEditorData",<BR />"headers": {<BR />"cloudfront-viewer-country": "US",<BR />"origin": "<A href="https://www.site1.com" target="_blank">https://www.site1.com</A>",<BR />"sec-ch-ua-platform": "\"Android\"",<BR />}<BR />},<BR />"level": "notice",<BR />"message": "INCOMING REQUEST: POST /api/resource/getContentEditorData"<BR />}<BR /><BR />I need count of&nbsp;<STRONG>cloudfront-viewer-country</STRONG> and&nbsp;<STRONG>sec-ch-ua-platform</STRONG> for each&nbsp;<STRONG>Origin<BR /><BR />Please help.</STRONG></P><P><STRONG>Expected Result:</STRONG></P><TABLE border="1" width="83.33333333333334%"><TBODY><TR><TD width="16.666666666666668%" height="47px">Origin</TD><TD width="16.666666666666668%" height="47px">Platform</TD><TD width="16.666666666666668%" height="47px">Platform Count</TD><TD width="16.666666666666668%" height="47px">Country</TD><TD width="16.666666666666668%" height="47px">Country Count</TD></TR><TR><TD width="16.666666666666668%" height="25px"><A href="https://www.site1.com" target="_blank">https://www.site1.com</A></TD><TD width="16.666666666666668%" height="25px">Android</TD><TD width="16.666666666666668%" height="25px">10</TD><TD width="16.666666666666668%" height="25px">US</TD><TD width="16.666666666666668%" height="25px">22</TD></TR><TR><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%" height="25px">macOS</TD><TD width="16.666666666666668%" height="25px">12</TD><TD width="16.666666666666668%" height="25px">UK</TD><TD width="16.666666666666668%" height="25px">3</TD></TR><TR><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%" height="25px">Windows</TD><TD width="16.666666666666668%" height="25px">6</TD><TD width="16.666666666666668%" height="25px">AU</TD><TD width="16.666666666666668%" height="25px">1</TD></TR><TR><TD width="16.666666666666668%" height="25px"><A href="https://www.site2.com" target="_blank">https://www.site2.com</A></TD><TD width="16.666666666666668%">Android</TD><TD width="16.666666666666668%">4</TD><TD width="16.666666666666668%">US</TD><TD width="16.666666666666668%">8</TD></TR><TR><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%">macOS</TD><TD width="16.666666666666668%">4</TD><TD width="16.666666666666668%">UK</TD><TD width="16.666666666666668%">1</TD></TR><TR><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%">Windows</TD><TD width="16.666666666666668%">2</TD><TD width="16.666666666666668%">AU</TD><TD width="16.666666666666668%">1</TD></TR><TR><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%" height="25px">&nbsp;</TD></TR></TBODY></TABLE> Thu, 16 Jun 2022 13:58:36 GMT https://community.splunk.com/t5/Splunk-Search/Splunk-Query-to-form-a-table-with-multiple-JSON-fields/m-p/602089#M209570 shashaikhhh 2022-06-16T13:58:36Z https://community.splunk.com/t5/Splunk-Search/Splunk-Query-to-form-a-table-with-multiple-JSON-fields/m-p/602112#M209583 <P>Please clarify your requirement.</P><P>What if site1 had only 2 countries, or site2 had an extra platform, what would your expected / desired result look like then?</P><P>Btw, your JSON example isn't valid JSON (there is a spurious comma after Android.</P> Thu, 16 Jun 2022 15:38:13 GMT https://community.splunk.com/t5/Splunk-Search/Splunk-Query-to-form-a-table-with-multiple-JSON-fields/m-p/602112#M209583 ITWhisperer 2022-06-16T15:38:13Z https://community.splunk.com/t5/Splunk-Search/Splunk-Query-to-form-a-table-with-multiple-JSON-fields/m-p/602117#M209586 <P><STRONG>If site1 has only 2 countries, then we need to display 2 records.</STRONG></P><P><BR />Updated Splunk event data:<BR />{<BR />"additional": {<BR />"method": "POST",<BR />"url": "/api/resource/getContentEditorData",<BR />"headers": {<BR />"cloudfront-viewer-country": "US",<BR />"origin": "<A href="https://www.site1.com" target="_blank">https://www.site1.com</A>",<BR />"sec-ch-ua-platform": "\"Android\""<BR />}<BR />},<BR />"level": "notice",<BR />"message": "INCOMING REQUEST: POST /api/resource/getContentEditorData"<BR />}<BR /><BR />============</P><P>{<BR />"additional": {<BR />"method": "POST",<BR />"url": "/api/resource/getContentEditorData",<BR />"headers": {<BR />"cloudfront-viewer-country": "UK",<BR />"origin": "<A href="https://www.site1.com" target="_blank">https://www.site1.com</A>",<BR />"sec-ch-ua-platform": "\"Windows\""<BR />}<BR />},<BR />"level": "notice",<BR />"message": "INCOMING REQUEST: POST /api/resource/getContentEditorData"<BR />}</P><P>=========================</P><P>{<BR />"additional": {<BR />"method": "POST",<BR />"url": "/api/resource/getContentEditorData",<BR />"headers": {<BR />"cloudfront-viewer-country": "AU",<BR />"origin": "<A href="https://www.site2.com" target="_blank">https://www.site2.com</A>",<BR />"sec-ch-ua-platform": "\"Windows\""<BR />}<BR />},<BR />"level": "notice",<BR />"message": "INCOMING REQUEST: POST /api/resource/getContentEditorData"<BR />}</P> Thu, 16 Jun 2022 15:50:27 GMT https://community.splunk.com/t5/Splunk-Search/Splunk-Query-to-form-a-table-with-multiple-JSON-fields/m-p/602117#M209586 shashaikhhh 2022-06-16T15:50:27Z https://community.splunk.com/t5/Splunk-Search/Splunk-Query-to-form-a-table-with-multiple-JSON-fields/m-p/602120#M209587 <P><STRONG>If site1 has only 2 countries and site2 has one extra platform, then the expected result should be like below.</STRONG></P><TABLE border="1" width="83.33333333333334%"><TBODY><TR><TD width="16.666666666666668%" height="47px">Origin</TD><TD width="16.666666666666668%" height="47px">Platform</TD><TD width="16.666666666666668%" height="47px">Platform Count</TD><TD width="16.666666666666668%" height="47px">Country</TD><TD width="16.666666666666668%" height="47px">Country Count</TD></TR><TR><TD width="16.666666666666668%" height="25px"><A href="https://www.site1.com/" target="_blank" rel="nofollow noopener noreferrer">https://www.site1.com</A></TD><TD width="16.666666666666668%" height="25px">Android</TD><TD width="16.666666666666668%" height="25px">10</TD><TD width="16.666666666666668%" height="25px">US</TD><TD width="16.666666666666668%" height="25px">22</TD></TR><TR><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%" height="25px">macOS</TD><TD width="16.666666666666668%" height="25px">12</TD><TD width="16.666666666666668%" height="25px">UK</TD><TD width="16.666666666666668%" height="25px">3</TD></TR><TR><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%" height="25px">Windows</TD><TD width="16.666666666666668%" height="25px">6</TD><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%" height="25px">&nbsp;</TD></TR><TR><TD width="16.666666666666668%" height="25px"><A href="https://www.site2.com/" target="_blank" rel="nofollow noopener noreferrer">https://www.site2.com</A></TD><TD width="16.666666666666668%">Android</TD><TD width="16.666666666666668%">4</TD><TD width="16.666666666666668%">US</TD><TD width="16.666666666666668%">8</TD></TR><TR><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%">macOS</TD><TD width="16.666666666666668%">4</TD><TD width="16.666666666666668%">UK</TD><TD width="16.666666666666668%">1</TD></TR><TR><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%">Windows</TD><TD width="16.666666666666668%">2</TD><TD width="16.666666666666668%">AU</TD><TD width="16.666666666666668%">1</TD></TR><TR><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%" height="25px">&nbsp;</TD><TD width="16.666666666666668%" height="25px">IND</TD><TD width="16.666666666666668%" height="25px">5</TD></TR></TBODY></TABLE> Thu, 16 Jun 2022 15:54:29 GMT https://community.splunk.com/t5/Splunk-Search/Splunk-Query-to-form-a-table-with-multiple-JSON-fields/m-p/602120#M209587 shashaikhhh 2022-06-16T15:54:29Z