У нас есть следующий запрос -
index=yyy sourcetype=zzz "RAISE_ALERT" logger="aaa" | table uuid message timestamp | eval state="alert" | append [SEARCH index=yyy sourcetype=zzz "CLEAR_ALERT" logger="aaa" | table uuid message timestamp | eval state="no_alert" ] | stats latest(state) as state by uuid
Но этот запрос ничего не показывает для состояния, он показывает только uuid.
Query before and without latest works just fine. Here is screenshot of result of everything before stats -
введите описание изображения здесь
Если мы заменим stats latest на stats first, мы увидим uuid и state, это просто не последнее наблюдаемое значение состояния для этого uuid.
Любая идея относительно почему это может случиться?