我运行查询并以表的形式获取 custId 列表。我如何将此结果传递到 IN 子句内的另一个搜索查询中。
例如:
搜索 1: index=* "成功登录"|表 custID 这为我提供了带有列 custID 的表。
然后我必须跑
index=* "邮件发送者"|where custID IN (搜索 1) |table CustID,_time
splunk splunk-query
splunk ×1
splunk-query ×1