dedup
Verwenden Sie den Befehl dedup, um Ergebnisse zu entfernen, die eine identische Kombination von Feldwerten basierend auf der Suchreihenfolge enthalten, die mit dem Befehl sort generiert wurde.
Syntax
dedup <dedup_options> <field_name> [, <field_name>, ...]Parameter
In der folgenden Tabelle sind die in diesem Befehl verwendeten Parameter sowie deren Beschreibungen aufgeführt.
| Parameter | Beschreibung |
|---|---|
|
|
Geben Sie das Feld an, dessen Werte auf Duplikate geprüft werden müssen. |
|
|
Syntax: [count = <count>][includenulls = [true|false]] [consecutive = [true|false]]
|
Mit der folgenden Abfrage werden Logs nach jeder eindeutigen Kombination aus Clienthostort und IP gruppiert, die Summe der Inhaltsgröße für jede Gruppe berechnet, jede Gruppe nach absteigender Reihenfolge der Inhaltsgröße sortiert und schließlich doppelte Zeilen für einen Clienthostort entfernt. Dadurch werden nur die Zeilen beibehalten, die der höchsten Inhaltsgröße für jeden Clienthostort entsprechen:
* | stats sum('Content Size') as 'Content Size' by 'Client Host City', 'Source IP'
| sort -'Content Size'
| dedup 'Client Host City'Bei der obigen Abfrage enthält die resultierende Datensatztabelle die drei Spalten Client Host City, Source IP und Content Size.
Wenn Sie die Option dedup count = 2 angeben, sind 2 Zeilen verfügbar, die denselben Wert Client Host City aufweisen.
Wenn Sie die Option dedup includenulls = true angeben, werden diese Zeilen eingeschlossen, wobei der Wert Client Host City null ist.
Wenn Sie die Option dedup consecutive = true angeben, werden nur die Zeilen entfernt, bei denen die aufeinander folgenden Werte von Client Host City identisch sind.