トランザクションIDのSumologic "完全外部結合"

Question

sumologicで完全な外部結合機能を得るための方法はありますか？結合演算子は、内側には、私がステージアとstageBとログ・ストリームを持っていると私は私が結果を望む

{ id: '12324', stage: 'a' } 
{ id: '12324', stage: 'b' } 
{ id: '3467', stage: 'a' } 

共有識別子のステージア用loglineはなくstageBがある場所を特定したい

に参加与えているようです他のidには両方のステージがあるので、id： '3467'のみを持つようにします。ここで

Answer 1

は私が

ID

上

1. パースID
2. transactionizeは、段階b doesntのは
の存在取引について トランザクション内のIDにloglines
3. フィルタをマージしてしまったクエリがあります

4. トランザクションがクエリウィンドウにまたがる可能性があるため、最新のログラインを除外します

   ("id") 
   | parse "id: *," as id 
   | transactionize id (merge id, _raw join with "\n\n") 
   | where !(_raw matches "*stage: \'b\'*") and _messageTime < now() - 1000*60*4