要求:我想找出,在特定日期使用的支付卡信息中是否有任何带有相同支付卡信息的电话销售订单。
我尝试使用以下查询,它应该为我提供在线订单中的所有支付卡信息以及电话销售中的匹配支付信息。但我基本上没有给出正确的结果,结果表明没有电话销售信息,但是当我搜索不满意时,我也在寻找电话销售。所以查询错了。
index="orders" "Online order received" earliest=-9d latest=-8d
| rex field=message "paymentHashed=(?<payHash>.([a-z0-9_\.-]+))"
| rename timestamp as onlineOrderTime
| table payHash, onlineOrderTime
| join type=left [search index="orders" "Telesale order received" earliest=-20d latest=-5m | rex field=message "paymentHashed=(?<payHash>.([a-z0-9_\.-]+))" | rename timestamp as TeleSaleTime | table payHash, TeleSaleTime]
| table payHash, onlineOrderTime, TeleSaleTime
[请帮助我修正查询或查询以找到符合我要求的结果。
join命令需要一个字段名列表,每个搜索中的事件都将与该字段名匹配。如果未列出任何字段,则使用所有字段。在示例中,字段“ onlineOrderTime”和“ TeleSaleTime”仅存在于联接的一侧,因此无法进行匹配。解决方法很简单:指定公用字段名称。 ... | join type=left payHash ...。