1

我需要为单个用户名返回每天最早的登录时间。但是,某些退货与该日期的登录不匹配。如下查询:

index=app_redacted_int_* sourcetype="redacted" SessionState="Active" UserName=ABCDE123

| rex field=UserRealName "(?<IDNUM>\d+$)"

| bucket _time span=1d as day
| eval day=strftime(_time,"%F")

| stats earliest(SessionStateChangeTime) as SesssionStateChangeTime by day IDNUM UserRealName UserName

结果:

day             IDNUM               UserRealName             UserName              SessionStateChangeTime
2020-07-23       123                John Smith               ABCDE123              7/22/2020 09:48:52
2020-07-24       123                John Smith               ABCDE123              7/23/2020 12:47:13
2020-07-25       123                John Smith               ABCDE123              7/24/2020 07:23:01
2020-07-27       123                John Smith               ABCDE123              7/27/2020 07:54:34
2020-07-28       123                John Smith               ABCDE123              7/27/2020 07:54:34
2020-07-29       123                John Smith               ABCDE123              7/28/2020 07:32:04

如您所见,有些日子将他们最早的登录作为前一天的登录返回。我需要匹配左侧和右侧的日期,并且我需要在一个查询中将所有这些都放在一起,我已经知道如何一次执行一个查询。感谢您抽出宝贵时间提供帮助!非常感谢!

4

1 回答 1

0

看来,您分箱的那些日期,最早的登录时间是从较早的一天开始的

看来您已经将数据的多个日期混为一谈,期望它们“相同”

强烈怀疑SesssionStateChangeTime不是您想要研究的领域 - 至少,不是您现在尝试的方式

于 2020-07-30T12:44:30.760 回答