要查找一段时间内未见的内容，需要搜索该时间段内的所有数据，因此请做好降低性能的准备。如果您可以具体说明“新”事件的条件，这将有所帮助。从此搜索开始。如果可能，将_raw替换为特定字段。

index=serverlogs1 earliest=-1w
| stats count by _raw
| where count = 1