我需要返回单个用户名每天最早的登录时间。但是,有些返回与该日期的登录名不匹配。以下查询:
index=app_redacted_int_* sourcetype="redacted" SessionState="Active" UserName=ABCDE123
| rex field=UserRealName "(?<IDNUM>d+$)"
| bucket _time span=1d as day
| eval day=strftime(_time,"%F")
| stats earliest(SessionStateChangeTime) as SesssionStateChangeTime by day IDNUM UserRealName UserName
结果:
day IDNUM UserRealName UserName SessionStateChangeTime
2020-07-23 123 John Smith ABCDE123 7/22/2020 09:48:52
2020-07-24 123 John Smith ABCDE123 7/23/2020 12:47:13
2020-07-25 123 John Smith ABCDE123 7/24/2020 07:23:01
2020-07-27 123 John Smith ABCDE123 7/27/2020 07:54:34
2020-07-28 123 John Smith ABCDE123 7/27/2020 07:54:34
2020-07-29 123 John Smith ABCDE123 7/28/2020 07:32:04
正如你所看到的,有些日子会将他们最早的登录名作为前一天的登录名返回。我需要左边和右边的日期匹配,我需要在一个查询中把这些都放在一起,我已经知道如何一次一个查询。谢谢你花时间帮忙!非常感谢!
在您装箱的日期,最早的登录时间是的前一天
当出现时,您已经将数据中的多个日期合并为期望它们是";相同的";
我强烈怀疑SesssionStateChangeTime不是您想要查看的字段-至少,不是您现在尝试的方式