我已经为此苦了几个小时。
我正在尝试构建一个包含以下内容的简单表:
我有两个有效的查询可以分别实现我想要的功能,但是当我尝试使用联接时,我丢失了第二个查询的数据。
查询#1:index = source =“”“” AND parentId = 1574 |字段childId,日期 ->返回333, 查询#2:index = source =“”“” AND childId = 333 |图表计数为childCount |字段childCount ->返回计数,例如4
当我尝试使用类似的方法将两者合并时,我将失去计数:
index=<redacted> source="<redacted" "<some query text>" AND
parentId=1574
| fields childId, date
| join type=left childId [
search index=<redacted> source="<redacted>" "<some query text>" AND
childId=333 | chart count as childCount | fields childCount
]
| table artifactId, childCount, date
我也尝试了外部连接,附加等,但无济于事。计数也可以为0。
我们将不胜感激
谢谢!
答案 0 :(得分:1)
第二次搜索的数据丢失,因为该搜索未返回join所期望的'childId'字段。它仅返回在fields命令中指定的'childCount'字段。尝试fields childId childCount。