Exchange 2010 データを扱っています。MessageID、Sender、Recipients、および _time があります。イベントの種類によっては、受信者を分割できます (つまり、特定のメッセージのすべての受信者はイベントに含まれず、複数のイベントに分割されます)。データの例を次に示します。
_time MessageID Sender Recipients
4:25 <12345> Sender1 Recipient1
4:50 <12345> Sender1 Recipient2
このクエリを使用して、MessageID と Sender によって、複数の受信者の値を 1 つのイベントに結合します。
index=ExchangeIndex sourcetype=MSExchange:2010:Message tracking
| stats values(Recipients) as recip by MessageID, Sender
| table _time, MessageID, Sender, recip
これにより、次の結果が得られます。
_time MessageID Sender recip
<12345> Sender1 Recipient1; Recipient2
特定の MessageID の各イベントが異なる時間に発生するためvalues、ステートメントに _time が含まれていると機能しないため、 _time は取り込まれません。byしたがって、どういうわけかdedupMessageID (最新の _time を取得するため) と受信者の値を同時に詰め込む必要があります。
私はこれを試みました:
| stats max(_time) as datetime by MessageID, Sender
| stats values(Recipients) as recip by datetime, MessageID, Sender
| table datetime, MessageID, Sender, recip
しかし、これも機能せず、recip が入力されません。
_time MessageID Sender recip
4:50 <12345> Sender1
私の望ましい出力は次のようになります。
_time MessageID Sender recip
4:50 <12345> Sender1 Recipient1; Recipient2
どうすればそれを達成できますか?