Перейти к основному содержимому
Версия: 4.0

dedup

Описание

Оставляет только уникальные записи в результатах по заданным полям.

Синтаксис

| dedup [<int>] <field-list> [sortby <sort-by-clause>]

Обязательные аргументы

ПараметрСинтаксисОписание
<field-list><field> [, <field>]Список полей, по которым должна происходить дедупликация.

Опциональные аргументы

ПараметрСинтаксисПо умолчаниюОписание
maxnum<int>Без ограничений.Максимальное количество комбинаций для дедупликации.
[sortby <sort-by-clause>]sortby <global-sort-options> (-|+)<sort-field> [(-|+)<sort-field> ...]Уточняющее описание сортировки.

Опции сортировки

ПараметрСинтаксисПо умолчаниюОписание
<global-sort-options>+|-+Сортировка + по возрастанию, - по убыванию.
<sort-field><field> | auto(<field>) | str(<field>) | ip(<field>) | num(<field>)Описание типа сортировки.

Типы сортировки

ПараметрСинтаксисОписаниеЗамечания
<field><field>Имя поля для сортировки.
<auto>auto(<field>)Автоматически определяет каким образом выполнять сортировку.
ipip(<field>)Выполняет сортировку для IP-адресов.
numnum(<field>)Выполняет сортировку поля как цифры.Если поле не содержит цифровое значение, система вернет ошибку.
strstr(<field>)Выполняет сортировку поля как текстовое.Если поле содержит другой тип данных (цифры, даты, boolean-значение), то значения полей будут приведены к тексту.
к сведению

Характер сортировки зависит от типа данных (текст — алфавитный порядок, цифры — возрастание/убывание, даты — раньше/позже и т.д.).

Примеры запросов

Пример №1
source radius_logs
| dedup event
Пример №2
 source radius_logs
| dedup 3 event
Пример №3
source radius_logs
| dedup event sortby - event +@timestamp
Пример №4
 source radius_logs
| dedup event sortby num(event)