У меня есть 3 поля в результатах поиска, такие как message, id и docId.Нужно сгруппировать результаты по идентификатору и идентификатору документа с конкретными сообщениями
message="successfully added" id=1234 docId =1345
message="removed someUniqueId" id=1234 docId =1345
Мне нужно сгруппировать результаты по обоим идентификаторам с конкретным сообщением
search query | rex "message=(?<message[\S\s]*>)" | where message="successfully added"
, котороевыдача результата для первого поиска, когда я пытался найти второй поисковый запрос, который не дает результата из-за someUniqueId "
search query | rex "message=(?<message[\S\s]*>)" | where match(message, "removed *")
Не могли бы вы помочь мне отфильтровать результаты, которые имеют 2 сообщения исгруппировать по id и docID