事务id上的Sumologic“全外连接”

时间:2017-01-06 22:33:39

标签: sumologic

有没有办法通过sumologic获得完全外连接功能? JOIN运算符似乎给出了内连接

我有一个带有stageA和stageB的日志流,我想确定stageA的日志在哪里,而不是stageB的共享标识符

{ id: '12324', stage: 'a' }
{ id: '12324', stage: 'b' }
{ id: '3467', stage: 'a' }

我希望结果只有id:'3467',因为其他id都有两个阶段。

1 个答案:

答案 0 :(得分:2)

以下是我最终的查询

  1. 解析ID
  2. 在id
    3. 上进行交易
  3. 合并内部ID的日志 交易
  4. 过滤阶段b不存在的交易

  5. 排除最近的日志,因为事务可能跨越查询窗口

    ("id")
| parse "id: *," as id 
| transactionize id (merge id, _raw join with "\n\n") 
| where !(_raw matches "*stage: \'b\'*") and _messageTime < now() - 1000*60*4
相关问题
最新问题