Мне нужно первое появление определенного события для списка пользователей в splunk.
Например: у меня есть список пользователей, скажем 10 из другого запроса.
Я использую запрос ниже, чтобы найти дату первого письма, отправленного клиентом 12345. Как мне найти то же самое для списка клиентов, который я получаю из другого запроса?
index = abc appname = xyz "12345" "* \" SENT \ "}}" | reverse | table _time | head 1