外れ値

`outlier`

このコマンドを使用して、結果内の不規則または珍しいフィールド値を検索します。

構文

outlier <outlier_options> <field_name> [, <field_name>, ...] [as <new_field_name>]

パラメータ

次の表に、このコマンドで使用されるパラメータとその説明を示します。

パラメータ説明

field_name このパラメータを使用して、異常値を検出するフィールドを指定します。

パラメータ	説明
`field_name`	このパラメータを使用して、異常値を検出するフィールドを指定します。
`outlier_options`	構文: `[action = [annotate \| filter]] [remove = [true\|false]]` `action`: annotateアクションは、結果内のフィールドとして外れ値フラグを返します。filterアクションは、不規則なフィールド値を持つ結果のみを返します。アクションが指定されていない場合は、デフォルトのフィルタが使用されます。 `remove`: フィールド値が不規則であると判断された結果を削除します。removeを指定しない場合、デフォルトのfalseが使用されます。

outlier_options

構文: [action = [annotate | filter]] [remove = [true|false]]

action: annotateアクションは、結果内のフィールドとして外れ値フラグを返します。filterアクションは、不規則なフィールド値を持つ結果のみを返します。アクションが指定されていない場合は、デフォルトのフィルタが使用されます。

remove: フィールド値が不規則であると判断された結果を削除します。removeを指定しない場合、デフォルトのfalseが使用されます。

次の問合せは、異常なコンテンツ・サイズを検出します。

* | link Entity
 | stats sum('Content Size Out') as 'Content Size Out'
| outlier 'Content Size Out'

'Content Size Out' != null 
| stats sum('Content Size Out') as 'Content Size Out' by Entity
| outlier 'Content Size Out'