dedup
Verwenden Sie den Befehl dedup, um Ergebnisse zu entfernen, die eine identische Kombination von Feldwerten basierend auf der Suchreihenfolge enthalten, die mit dem Befehl sort generiert wurde.
Syntax
dedup <dedup_options> <field_name> [, <field_name>, ...]Parameter
In der folgenden Tabelle sind die in diesem Befehl verwendeten Parameter sowie deren Beschreibungen aufgeführt.
| Parameter | Beschreibung |
|---|---|
|
|
Geben Sie das Feld an, dessen Werte auf Duplikate geprüft werden müssen. |
|
|
Syntax: [count = <count>][includenulls = [true|false]] [consecutive = [true|false]]
|
Die folgende Abfrage gruppiert Logs nach jeder eindeutigen Kombination aus Clienthostort und IP, berechnet die Summe der Inhaltsgröße für jede Gruppe, sortiert jede Gruppe nach absteigender Reihenfolge der Inhaltsgröße und entfernt schließlich doppelte Zeilen für einen Clienthostort. Dadurch werden nur die Zeilen beibehalten, die der höchsten Inhaltsgröße für jeden Clienthostort entsprechen:
* | stats sum('Content Size') as 'Content Size' by 'Client Host City', 'Source IP'
| sort -'Content Size'
| dedup 'Client Host City'Bei der obigen Abfrage enthält die resultierende Datensatztabelle die drei Spalten Client Host City, Source IP und Content Size.
Wenn Sie die Option dedup count = 2 angeben, sind 2 Zeilen mit demselben Wert von Client Host City verfügbar.
Wenn Sie die Option dedup includenulls = true angeben, werden diese Zeilen eingeschlossen, wobei der Wert Client Host City Null ist.
Wenn Sie die Option dedup consecutive = true angeben, werden nur die Zeilen entfernt, bei denen die aufeinanderfolgenden Werte von Client Host City identisch sind.