splunk - 如何使用 Multisearch 在两个搜索查询之间进行交叉验证和计数

问题描述

大家好，希望大家一切都好...

事实证明，我必须找出购买过的客户有多少次联系公司部门投诉...我可以生成一个表格，显示通过 ID 进行实际购买的客户，我也可以为已经打电话投诉的客户制作一张桌子。

第一个表看起来像这样：

ID    PRODUCT_BOUGHT
41545    x_98
1428     x_98
4856     x_91
8596     x_91
1254     x_96

第二张桌子看起来像这样..

ID     CASE_NUMBER
41545     001
4856      002
4856      003
41545     004
1254      005
1254      006

问题是我需要计算每个 ID 在线调用的次数，并带上购买的产品和在线收到的案例编号......但我只能想到一个 multiseach 来创建表格，但是我似乎找不到任何关于如何进行交叉验证甚至计数的文档，我觉得我的头撞到了墙上......

这是我正在使用的多重搜索：

| multisearch
[| search index="auxpik"
 | search status="PAY.ok"
 | fields ID PRODUCT_BOUGHT]
[|search index="auxpik"
 | search in_calls="corp_cx_cases")
 | fields ID CASE_NUMBER]

但由于我是一个尝试学习 splunk 的 python 用户，我似乎无法找到获取此表的方法：

期望的结果：

ID       CALLS_ON_THE_LINE    PRODUCT_AND_CASES
41545         2                x_98-001-004
4856          2                x_91-002-003
1254          2                x_96-005-006
1428          0                   x_98
8596          0                   x_91

非常感谢所有可以帮助我提供有关如何实现这一目标的指导或文档的人一百万，非常感谢！！！！！！！我从德克萨斯给你一个大大的拥抱！

标签： splunksplunk-formulasplunk-calculation