異なるソースタイプ[sourcteype=A1]の中に[user]、[sourcetype=B1]の中に[ap_user]というフィールドがあります。
この2つの[user],[ap_user]のユーザ名が同じであるかどうか判定するリアルタイムアラートを作成したいです。
リアルタイムサーチ時にappendやjoinでサブサーチを利用するとうまくいきませんでした。
これを解決できる方法がありましたら、ご教授下さい。
sourcetype="A1"
|fields user
|join
[
|search sourcetype="B1"
|fields ap_user
]
|table user,ap_user
|eval match=if(user==ap_user, "〇", "×")
