交易 ID 上的 Sumologic "full outer join"
Sumologic "full outer join" on transaction id
有没有什么方法可以用 sumologic 获得完整的外连接功能? JOIN 运算符似乎给 inner join
我有一个包含 stageA 和 stageB 的日志流,我想确定哪里有 stageA 的日志行但没有 stageB 的共享标识符
{ id: '12324', stage: 'a' }
{ id: '12324', stage: 'b' }
{ id: '3467', stage: 'a' }
我希望结果只有 id:'3467',因为另一个 id 有两个阶段。
这是我最终得到的查询
- 解析id
- 根据 id
进行交易
- 合并 id 上的日志行
交易
- 筛选不存在阶段 b 的事务
排除最近的日志行,因为事务可能跨越查询 window
("id")
| parse "id: *," as id
| transactionize id (merge id, _raw join with "\n\n")
| where !(_raw matches "*stage: \'b\'*") and _messageTime < now() - 1000*60*4
有没有什么方法可以用 sumologic 获得完整的外连接功能? JOIN 运算符似乎给 inner join
我有一个包含 stageA 和 stageB 的日志流,我想确定哪里有 stageA 的日志行但没有 stageB 的共享标识符
{ id: '12324', stage: 'a' }
{ id: '12324', stage: 'b' }
{ id: '3467', stage: 'a' }
我希望结果只有 id:'3467',因为另一个 id 有两个阶段。
这是我最终得到的查询
- 解析id
- 根据 id 进行交易
- 合并 id 上的日志行 交易
- 筛选不存在阶段 b 的事务
排除最近的日志行,因为事务可能跨越查询 window
("id") | parse "id: *," as id | transactionize id (merge id, _raw join with "\n\n") | where !(_raw matches "*stage: \'b\'*") and _messageTime < now() - 1000*60*4