у меня есть запрос на соединение, который мне нужно оптимизировать, используя OR и Stats, я новичок в сплках

Question

index="index1" sourcetype=sourcetype1 | join commonfield [ search <br>index="index2" sourcetype=sourcetype2 ] | sort _time | stats <br>last(index1field1) as state by index2field1, index1field2, index1field3 <br>| where index1field1 != "UP" | dedup index2field1 | stats count

Я хочу оптимизировать этот запрос без объединения с использованием статистики и ИЛИ, кто-нибудь может мне помочь?

Answer 1

(index="index1" sourcetype=sourcetype1) OR (index="index2" sourcetype=sourcetype2)
| stats values(*) AS *, values(_*) as * by commonfield

Это будет довольно хорошая отправная точка.Сначала внесите оба набора данных, затем объедините все поля из обоих источников, «соединяя» на основе commonfield