如何使用 Multisearch 在两个搜索查询之间进行交叉验证和计数

Question

大家好希望大家一切都好...

事实证明，我必须找出已购买的客户联系公司线路投诉的次数...我可以生成一个 table，向我显示已购买的客户实际购买ID，还可以给打电话投诉的客户table做一个..

第一个 table 看起来像这样：

ID    PRODUCT_BOUGHT
41545    x_98
1428     x_98
4856     x_91
8596     x_91
1254     x_96

第二个 table 看起来像这样..

ID     CASE_NUMBER
41545     001
4856      002
4856      003
41545     004
1254      005
1254      006

问题是我需要计算每个ID在线上调用了多少次，还要带上在线购买的产品和收到的案例号...但我只能按顺序想到一个multiseach创建 table 但我似乎找不到任何关于如何进行交叉验证甚至计数的文档，我觉得我的头撞到墙上了......

这是我正在使用的多重搜索：

| multisearch
[| search index="auxpik"
 | search status="PAY.ok"
 | fields ID PRODUCT_BOUGHT]
[|search index="auxpik"
 | search in_calls="corp_cx_cases")
 | fields ID CASE_NUMBER]

但由于我是一个 python 用户，正在尝试学习 splunk，所以我似乎无法找到获得此 table:

的方法

期望的结果：

ID       CALLS_ON_THE_LINE    PRODUCT_AND_CASES
41545         2                x_98-001-004
4856          2                x_91-002-003
1254          2                x_96-005-006
1428          0                   x_98
8596          0                   x_91

非常感谢所有可以帮助我提供有关如何实现这一目标的指导或文档的人，就像我的心一样，非常感谢！！！！！！我从德克萨斯州给你一个大大的拥抱！

Answer 1

Mu​​ltisearch 应该不是必需的。试试这个

(index="auxpik" status="PAY.ok") OR (index="auxpik" in_calls="corp_cx_cases")
| fields ID PRODUCT_BOUGHT CASE_NUMBER
| stats values(*) as * by ID

如果您真的想使用 multisearch，那么 stats 命令应该会产生您想要的结果。