我必须首先出现splunk中用户列表的特定事件。
例如:我有来自另一个查询的用户名单10。
我正在使用以下查询来查找客户12345发送的第一封邮件的日期。如何从另一个查询获得的客户列表中找到相同的内容?
index = abc appname = xyz“12345”“* \”SENT \“}}”| reverse | table _time | head 1
答案 0 :(得分:0)
尝试使用stats。
index=abc appname=xyz "12345" "*\"SENT\"}}" | stats first(_time)