Мне нужно вернуть самое раннее время входа в день для одного имени пользователя. Однако некоторые возвраты не соответствуют логину с этой даты. Запрос ниже:
index=app_redacted_int_* sourcetype="redacted" SessionState="Active" UserName=ABCDE123
| rex field=UserRealName "(?<IDNUM>\d+$)"
| bucket _time span=1d as day
| eval day=strftime(_time,"%F")
| stats earliest(SessionStateChangeTime) as SesssionStateChangeTime by day IDNUM UserRealName UserName
Полученные результаты:
day IDNUM UserRealName UserName SessionStateChangeTime
2020-07-23 123 John Smith ABCDE123 7/22/2020 09:48:52
2020-07-24 123 John Smith ABCDE123 7/23/2020 12:47:13
2020-07-25 123 John Smith ABCDE123 7/24/2020 07:23:01
2020-07-27 123 John Smith ABCDE123 7/27/2020 07:54:34
2020-07-28 123 John Smith ABCDE123 7/27/2020 07:54:34
2020-07-29 123 John Smith ABCDE123 7/28/2020 07:32:04
Как видите, некоторые дни возвращают самый ранний логин как логин предыдущего дня. Мне нужно, чтобы даты слева и справа совпадали, и мне нужно все это вместе в одном запросе, я уже знаю, как это сделать по одному запросу за раз. Спасибо, что нашли время, чтобы помочь! Это очень ценится!
