2

有没有办法通过 sumologic 获得完整的外部连接功能?JOIN 运算符似乎提供了内部连接

我有一个包含 stageA 和 stageB 的日志流,我想确定 stageA 的日志行在哪里,而不是 stageB 的共享标识符

{ id: '12324', stage: 'a' }
{ id: '12324', stage: 'b' }
{ id: '3467', stage: 'a' }

我希望结果只有 id: '3467' 因为另一个 id 有两个阶段。

4

1 回答 1

3

这是我最终得到的查询

  1. 解析 id
  2. 对 id 进行交易
  3. 在事务中合并 id 上的日志
  4. 过滤不存在​​阶段 b 的事务

  5. 排除最近的日志行,因为事务可能跨越查询窗口

    ("id")
| parse "id: *," as id 
| transactionize id (merge id, _raw join with "\n\n") 
| where !(_raw matches "*stage: \'b\'*") and _messageTime < now() - 1000*60*4
于 2017-01-09T18:54:56.787 回答