在UserMessageChanelMap中成功调度了PushNotification LINK_MORE_ACCOUNTS | eval字段= split( raw,“ |”)| eval messageKey = mvindex(fields,2)| eval num = mvindex(fields,5)|表messageKey_,num | evalchedDate = replace(num,“ scheduledDate:”,“”)| eval messageKey = replace(messageKey _,“ messageKey:”,“”)| eval newTS = strftime(strptime(scheduledDate,“%a%b%d%H:%M:%S%Z%Y”),“%Y-%m-%d%H:%M:%S”) |统计信息按newTS,messageKey | stats min(newTS)作为ScheduledDate,max(newTS)作为ScheduledDate | appendcols [搜索((“ 无法发送PushNotification ”)messageKey:LINK_MORE_ACCOUNTS NOT(“ * |原因:无法传递|”)|提取pairdelim =“ |” kvdelim =“:” |表userId ,userMessageId,messageKey |统计信息按userId,userMessageId,messageKey |表userId,userMessageId,messageKey |统计信息按messageKey计算为pushFallOffPoints]
在这里,我想在fromScehduledDate-toScehduledDate的时间范围内运行子查询。我试图将这些日期最早最早地传递出去,但是那没有用。感谢帮助。
答案 0 :(得分:0)
子搜索首先运行,因此没有将字段传递到子搜索的事情。但是,子搜索可以使用format或return命令将字段返回到主搜索。单独运行子搜索以查看其返回的确切信息,并验证与主搜索结合使用时返回的字符串是否有意义。
答案 1 :(得分:0)
我能够找出解决方案
([[在LINK_MORE_ACCOUNTS中搜索成功计划的PushNotification | eval字段= split( raw,“ |”)| eval messageKey = mvindex(fields,2)| eval num = mvindex(fields,5) |表messageKey_,num | eval ScheduleDate = replace(num,“ scheduledDate:”,“”)| eval messageKey = replace(messageKey _,“ messageKey:”,“”)| eval newTS = strptime(scheduledDate,“%a%b %d%H:%M:%S%Z%Y“)|统计信息由newTS,messageKey |统计信息min(newTS)最早|返回最早] ,[在UserMessageChanelMap中搜索成功调度的PushNotification LINK_MORE_ACCOUNTS | eval字段= split( raw,“ |”)| eval messageKey = mvindex(fields,2)| eval num = mvindex(fields,5)|表messageKey_,num | evalchedDate = replace(num,“ scheduledDate:”,“”)| eval messageKey = replace(messageKey _,“ messageKey:”,“”)| eval newTS = strptime(scheduledDate,“%a%b%d%H:%M:%S%Z%Y”)|统计信息按newTS,messageKey | stats max(newTS)最新|返回最新]) (container_name =“ ace-service”)(“ 无法发送PushNotification ”)messageKey:LINK_MORE_ACCOUNTS NOT(“ * |原因:无法传递|”)|提取pairdelim =“ |” kvdelim =“:” |表userId,userMessageId,messageKey |统计信息按userId,userMessageId,messageKey |表userId,userMessageId,messageKey |统计信息由messageKey计为pushFallOffPoints