chart
Описание
Возвращает результаты в формате таблицы.
Синтаксис
| chart <functions-expression> ["," <functions-expression>] [BY <row-split><column-split>] | [OVER <row-split>] [BY <column-split>]
Обязательные аргументы
Обязательно использование хотя бы одной из функций:
| Параметр | Синтаксис | Описание |
|---|---|---|
count | count | count(<field>) | Вычисляет количество событий, содержащих поле. Если поле не указано, рассчитывает общее количество событий. |
values | values(<field>) | Вычисляет массив уникальных значений по заданному полю. |
avg | avg(<field>) | Вычисляет среднее значение по заданному полю. |
dc | dc(<field>) | Вычисляет количество уникальных значений в заданном поле. |
earliest | earliest(<field>) | Вычисляет значение поля для самого раннего события. В качестве второго (опционального) параметра передается имя поля с временной меткой. По умолчанию @timestamp. |
first | first(<field>) | Вычисляет первое значение по заданному полю. |
last | last(<field>) | Вычисляет последнее значение по заданному полю. |
latest | latest(<field>) | Вычисляет значение поля для самого позднего события. В качестве второго (опционального) параметра передается имя поля с временной меткой. По умолчанию @timestamp. |
list | list(<field>) | Вычисляет массив всех значений по заданному полю. |
max | max(<field>) | Вычисляет максимальное значение по заданному полю. |
min | min(<field>) | Вычисляет минимальное значение по заданному полю. |
range | range(<field>) | Вычисляет разницу между максимальным и минимальным значением по заданному полю. |
stdev | stdev(<field>) | Вычисляет стандартное отклонение для генеральной совокупности по заданному полю. |
sum | sum(<field>) | Вычисляет сумму значений по заданному полю. |
perc | perc(<field>, <percent>) | Вычисляет персентиль по заданному полю и проценту. |
median | median(<field>) | Вычисляет медиану по заданному полю. |
Опциональные аргументы
| Параметр | Синтаксис | По умолчанию | Описание |
|---|---|---|---|
row-split | <field> | Название поля, которое становится первым столбцом в таблице результатов. Значения этого поля становятся значениями строк в таблице результатов. | |
column-split | <field> | Название поля, значения которого будут использоваться в названии столбцов таблицы результатов. |
Примеры запросов
Пример 1
Запрос возвращает результаты выполнения values(user), values(message) для каждого значения поля age и host. Значения поля age распределяются по строкам, значения поля host используются в названии столбцов:
...
| chart values(user), values(message) by age, host
Пример 2
Запрос возвращает результаты выполнения values(user), values(message) для каждого значения поля age и host. Значения поля age распределяются по строкам, значения поля host используются в названии столбцов:
...
| chart values(user), values(message) over age by host
Пример 3
Запрос возвращает результат выполнения max(age) для каждого значения поля message:
...
| chart max(age) by message
Пример 4
Запрос возвращает результат выполнения max(age):
...
| chart max(age)