稀な

`rare`

rareコマンドを使用して、フィールド・リスト内のすべてのフィールドの最も頻度の低い値のn件の結果を表示します。オプションで、追加フィールド別にグループ化できます。

構文

rare [<rare_options>] <field_name> [, <field_name>, ...] [as <new_field_name>] [by <field_name> [, <field_name>]*]

パラメータ

次の表に、このコマンドで使用されるパラメータとその説明を示します。

パラメータ説明

パラメータ	説明
`field_name`	まれな値を決定する必要があるフィールドを指定します。
`rare_options`	構文: `[limit = <limit>] [showcount = [true\|false]] [showpercent = [true\|false]]` `limit`: 返される数値結果を指定します。指定しない場合、デフォルト値は`10`です。値が`-1`の場合、すべての行が返されます。 `showcount`: 結果で頻度数を返す必要があるかどうかを指定します。指定されていない場合、デフォルト値は`false`です。 `showpercent`: 結果に頻度率を戻す必要があるかどうかを指定します。指定されていない場合、デフォルト値は`false`です。

field_name

まれな値を決定する必要があるフィールドを指定します。

rare_options

構文:

[limit = <limit>] [showcount = [true|false]] [showpercent = [true|false]]

limit: 返される数値結果を指定します。指定しない場合、デフォルト値は10です。値が-1の場合、すべての行が返されます。

showcount: 結果で頻度数を返す必要があるかどうかを指定します。指定されていない場合、デフォルト値はfalseです。

showpercent: 結果に頻度率を戻す必要があるかどうかを指定します。指定されていない場合、デフォルト値はfalseです。

次の問合せでは、重大度の値が最も低い頻度で10エンティティが返されます:

linkコマンドを使用して:

* | link Entity
    | stats latest(Severity) as Severity
    | rare Severity

linkコマンドを使用しない場合:

* | stats latest(Severity) as Severity by Entity 
    | rare Severity