dedup
Utilisez la commande dedup pour enlever les résultats qui contiennent la même combinaison de valeurs de champ en fonction de l'ordre de recherche généré via la commande sort.
Syntaxe
dedup <dedup_options> <field_name> [, <field_name>, ...]Paramètres
Le tableau suivant répertorie les paramètres utilisés dans cette commande, ainsi que leur description.
| Paramètre | Description |
|---|---|
|
|
Indiquez le champ dont les valeurs doivent être vérifiées pour les doublons. |
|
|
Syntaxe : [count = <count>][includenulls = [true|false]] [consecutive = [true|false]]
|
Les groupes de requêtes suivants enregistrent chaque combinaison unique de ville hôte et d'adresse IP client, calculent la somme des tailles de contenu pour chaque groupe, trient chaque groupe par ordre décroissant de taille de contenu et enlèvent enfin les lignes en double pour une ville hôte client. Ainsi, seules les lignes correspondant à la taille de contenu la plus élevée pour chaque ville hôte client sont conservées :
* | stats sum('Content Size') as 'Content Size' by 'Client Host City', 'Source IP'
| sort -'Content Size'
| dedup 'Client Host City'Avec la requête ci-dessus, la table des enregistrements résultants comporte trois colonnes : Client Host City, Source IP et Content Size.
Si vous indiquez l'option dedup count = 2, 2 lignes ayant la même valeur que Client Host City sont disponibles.
Si vous indiquez l'option dedup includenulls = true, ces lignes sont incluses où la valeur Client Host City est NULL.
Si vous indiquez l'option dedup consecutive = true, seules les lignes sont enlevées où les valeurs consécutives de Client Host City sont identiques.