eventstats

Описание

Выполняет статистические операции над данными. Сохраняет результаты в новом поле.

Синтаксис

eventstats <functions-expression> ["," <functions-expression>]  [<by_expression>]

---

Аргументы

Подробное описание см. в команде stats.

---

Примеры запросов

Пример 1

В данном примере eventstats добавляет к событиям агрегированные значения values(message) и dc(user) для каждой группы user, index.

source tweets8
| eventstats values (message), dc (user) by user, index

Пример 2

В данном примере сначала вычисляется среднее значение amount по группам category, user, а затем where оставляет только строки с нужным средним и исходным значением.

source tweets9
| eventstats avg (amount) by category, user
| where 'avg(amount)' == 65 and amount == 120

Пример 3

В данном примере команда добавляет агрегированные поля ко всем событиям, после чего eval извлекает одно из значений массива values(user).

source tweets
| eventstats values(user), dc(message)
| eval res = mvindex ('values(user)',1)