[解決済み] append を使用した Splunk クエリ

質問内容

異なるタイムスロットからバッチログを計算し、appendコマンドを使用して出力を表示するクエリを持っています。しかし、最初のタイムスロットではバッチログが得られ、同じクエリの2番目のタイムスロットでは存在しません。追加後のクエリの出力では、唯一のタイムスロットに表示されているログを取得していません。

クエリ

index=main sourcetype=xml "MSR*" earliest=-30d latest=-15d 上記のクエリでは、出力にMSR1451バッチが表示されます。

index=main sourcetype=xml "MSR*" earliest=-14d latest=now() 上記のクエリでは、MSR1451バッチは取得できません。

index=main sourcetype=xml "MSR*" earliest=-30d latest=-15d |fields jobName | eval marker="Before 15 days" | append [search index=main sourcetype=xml "MSR*" earliest=-30d latest=-15d |fields jobName | eval marker="After 15 days"]] とすることである。| stats count (eval(marker="Before 15 days")) AS Before 15 days, count (eval(marker="After 15 days")))。AS 15日後 by JobName

上記のクエリでは、両方の時間帯に表示されている共通のジョブのみを取得しています。片方のタイムスロットのみに表示される求人もリストアップする必要があります。

解決方法は？

メイン検索とサブ検索で、earliest=-30dとlatest=-15dを使用するということでしょうか？

投稿されたクエリでは、両方の検索で、earliestとlatestに同じ値を使用しています。そうする必要があります。

index=main sourcetype=xml "MSR*" earliest=-30d latest=-15d |fields jobName | eval marker="Before 15 days" | append [search index=main sourcetype=xml "MSR*" earliest=-15d latest=now() |fields jobName | eval marker="After 15 days"] | stats count (eval(marker="Before 15 days")) AS Before 15 days, count (eval(marker="After 15 days")) AS After 15 days by JobName