eventstats

Описание

Выполняет статистические операции над данными. Сохраняет результаты в новом поле.

Синтаксис

eventstats <functions-expression> ["," <functions-expression>]  [<by_expression>]

Аргументы

Описание см. в команде stats

Примеры запросов

Пример №1

source tweets8
| eventstats values (message), dc (user) by user, index

Пример №2

source tweets9
| eventstats avg (amount) by category, user
| where 'avg(amount)' == 65 and amount == 120

Пример №3

source tweets
| eventstats values(user), dc(message)
| eval res = mvindex ('values(user)',1)