Как найти первое появление определенного события для списка пользователей в splunk

У меня должно быть первое появление определенного события для списка пользователей в splunk.

например: у меня есть список пользователей, скажем, 10 из другого запроса.

Я использую приведенный ниже запрос, чтобы найти дату первого письма, отправленного клиентом 12345. Как мне найти то же самое для списка клиентов, полученного по другому запросу?

index = abc appname = xyz "12345" "* \" SENT \ "}}" | reverse | table _time | head 1


splunk splunk-query splunk-calculation
person saurabh choudhary    schedule 16.05.2018    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Попробуйте использовать stats.

index=abc appname=xyz "12345" "*\"SENT\"}}" | stats first(_time)
person RichG    schedule 16.05.2018
comment
Я не хочу передавать 12345 в поисковом запросе, вместо этого передайте custId из другого поискового запроса - person saurabh choudhary; 17.05.2018
comment
Затем замените 12345 подпиской, возвращающей custId. index=abc appname=xyz [index=foo | return custId] "*\"SENT\"}}" | stats first(_time) - person RichG; 17.05.2018