我必须在 splunk 中的用户列表中找到特定事件的第一次出现。
例如:我有一个用户列表,其中来自另一个查询的 10 个用户。
我使用下面的查询来查找客户 12345 发送的第一封邮件的日期。如何从另一个查询中获得相同的客户列表?
index=abc appname=xyz "12345" "*\"SENT\"}}"|reverse|table _time|head 1
尝试使用
statsindex=abc appname=xyz "12345" "*\"SENT\"}}" | stats first(_time)