1

次のような Splunk ログがあります。

ts=20:10:01 id=1 state=first foo=bar
ts=20:10:05 id=1 state=second foo=bar
ts=20:10:06 id=1 state=third foo=bar

ts=20:10:03 id=2 state=first foo=bar

ts=20:11:01 id=3 state=first foo=bar
ts=20:11:03 id=3 state=second foo=bar
ts=20:11:05 id=3 state=third foo=bar

id他の 2 つの状態を持たないものをすべて見つけたいと思います。この例では、すべてid=2が最初の状態をログに記録しましたが、他の 2 はログに記録しませんでした。

index=my-idx foo=bar 
| join id type=outer
  [search index=my-idx foo=bar NOT (state=second OR state=third) | table id]
| table id

state=second私が考えているクエリは、またはstate=third上記の例で返されるべきではないIDのリストを返す必要がありますid=2

4

2 に答える 2

1 
stats values(state) as all_states dc(state) as state_count by id
| search all_states="first" AND state_count=1
| table id
于 2021-01-27T02:44:30.423 に答える