dedup
Utilizzare il comando dedup per rimuovere i risultati che contengono una combinazione identica di valori di campo in base all'ordine di ricerca generato mediante il comando sort.
Sintassi
dedup <dedup_options> <field_name> [, <field_name>, ...]Parametri
Nella tabella seguente sono elencati i parametri utilizzati in questo comando, insieme alle relative descrizioni.
| Parametro | Descrizione |
|---|---|
|
|
Specificare il campo i cui valori devono essere controllati per i duplicati. |
|
|
Sintassi: [count = <count>][includenulls = [true|false]] [consecutive = [true|false]]
|
La query seguente raggruppa i log in base a ogni combinazione univoca di città host client e IP, calcola la somma delle dimensioni del contenuto per ogni gruppo, ordina ogni gruppo in base all'ordine decrescente delle dimensioni del contenuto e infine rimuove le righe duplicate per una città host client. In questo modo vengono conservate solo le righe corrispondenti alle dimensioni di contenuto più elevate per ogni città host client:
* | stats sum('Content Size') as 'Content Size' by 'Client Host City', 'Source IP'
| sort -'Content Size'
| dedup 'Client Host City'Con l'interrogazione precedente, la tabella dei record risultante contiene tre colonne Client Host City, Source IP e Content Size.
Se si specifica l'opzione dedup count = 2, sono disponibili 2 righe con lo stesso valore di Client Host City.
Se si specifica l'opzione dedup includenulls = true, le righe vengono incluse dove il valore Client Host City è nullo.
Se si specifica l'opzione dedup consecutive = true, verranno rimosse solo le righe in cui i valori consecutivi di Client Host City sono uguali.