メインサーチのイベントの_timeをサブサーチに渡したいのですが、上手くいきません。 何か方法はありますでしょうか。   index=event_data |eval earlytime=_time-60 latesttime=_time+60 |fields earlytime,latesttime [ |search index=event_data2 earliest=earlytime latest=latesttime |return event_host,event_user ] |table event_host,event_user   ご助力お願いします。 ... View more

異なるソースタイプ[sourcteype=A1]の中に[user]、[sourcetype=B1]の中に[ap_user]というフィールドがあります。 この２つの[user],[ap_user]のユーザ名が同じであるかどうか判定するリアルタイムアラートを作成したいです。 リアルタイムサーチ時にappendやjoinでサブサーチを利用するとうまくいきませんでした。 これを解決できる方法がありましたら、ご教授下さい。 sourcetype="A1" |fields user |join [ |search sourcetype="B1" |fields ap_user ] |table user,ap_user |eval match=if(user==ap_user, "〇", "×") ... View more