dedup
Utilisez la commande dedup pour supprimer les résultats qui contiennent une combinaison identique de valeurs de champ en fonction de l'ordre de recherche généré au moyen de la commande sort.
Syntaxe
dedup <dedup_options> <field_name> [, <field_name>, ...]Paramètres
Le tableau suivant répertorie les paramètres utilisés dans cette commande, ainsi que leur description.
| Paramètre | Description |
|---|---|
|
|
Spécifiez le champ dont les valeurs doivent être vérifiées pour les doubles. |
|
|
Syntaxe : [count = <count>][includenulls = [true|false]] [consecutive = [true|false]]
|
L'interrogation suivante regroupe les journaux en fonction de chaque combinaison unique de ville hôte et d'adresse IP du client, calcule la somme de la taille du contenu pour chaque groupe, trie chaque groupe par ordre décroissant de taille du contenu et supprime enfin les rangées en double pour une ville hôte du client. Ainsi, seules les lignes correspondant à la taille de contenu la plus élevée pour chaque ville hôte client sont conservées :
* | stats sum('Content Size') as 'Content Size' by 'Client Host City', 'Source IP'
| sort -'Content Size'
| dedup 'Client Host City'Avec l'interrogation ci-dessus, la table d'enregistrements résultante comporte trois colonnes Client Host City, Source IP et Content Size.
Si vous spécifiez l'option dedup count = 2, 2 rangées ayant la même valeur Client Host City sont disponibles.
Si vous spécifiez l'option dedup includenulls = true, ces rangées sont incluses lorsque la valeur Client Host City est nulle.
Si vous spécifiez l'option dedup consecutive = true, seules ces rangées sont supprimées lorsque les valeurs consécutives de Client Host City sont identiques.