Splunk запрос: внутренний поиск данных, извлеченных из базы данных

Я новичок в журнале Splunk. Я получаю данные в Splunk из таблицы отслеживания транзакций. Мой сценарий приведен ниже.

Вот пример данных таблицы, которые я получаю:

Из приведенных выше данных мне нужно найти количество транзакций со статусом "Сбой", которые не имеют статуса "Успешно". Из приведенного выше примера я должен получить результат как 1, так как транзакция Id 1000 была успешной на более поздних этапах.

Могли бы вы, пожалуйста, посоветовать.