На основе следующих записей:
ORDER=entry1 USER=user1 EP=endpoint1 TIME=10:00
ORDER=entry2 USER=user2 EP=endpoint1 TIME=10:01
ORDER=entry3 USER=user1 EP=endpoint1 TIME=10:05
ORDER=entry4 USER=user2 EP=endpoint1 TIME=11:00
Я хочу написать запрос Splunk, в котором будут перечислены все вызовы endpoint1 одним и тем же пользователем за интервал менее 30 минут.
Результатом запроса будет
ORDER=entry3 USER=user1 EP=endpoint1 TIME=10:05
потому что только запись3 выполняется одним и тем же пользователем для этой конечной точки в интервале менее 30 минут.
Я попытался написать запрос, но не знаю, как передать его обычному пользователю. Мои запросы работают, но они предназначены для конкретного пользователя.
Как я могу сделать это универсальным?
