我有类似的事件:
{
taskId:5a6d
category:created
when:1517131461
...
}
{
taskId:5a6d
category:started
when:1517131609
...
}
{
taskId:5a6d
category:ended
when:1517134657
...
}
对于每个任务(任务ID相同),我们在创建/开始/结束时都有事件。
我想搜索是否有任何任务永远不会被处理(任务已创建但未启动)。这是我的搜索声明:
index=XXX sourcetype=XXX category=created | search NOT [search index=XXX sourcetype=XXX category=started | fields taskId]
如果时间范围小于48小时,则此语句可正常工作。 如果时间范围设置为,例如,最近7天,则上述搜索语句无法正常工作。它返回许多任务(category = created),这意味着永远不会处理这些任务。实际上,它们已被处理,我可以通过taskId搜索事件(category = started)。
我不知道它有什么问题。似乎subsearch在主搜索范围内没有返回正确的结果。
答案 0 :(得分:1)
如果没有查看您的确切数据,这将很难调试。
为了简单起见,你可以尝试这样的事情,通过一次搜索来完成所有事情:
index=XXX sourcetype=XXX category=created
| eventstats values(category) as categories by taskId
| search categories = created NOT categories = started