Перейти к основному содержимому
Версия: 4.1

chart

Описание

Возвращает результаты в формате таблицы.

Синтаксис

| chart <functions-expression> ["," <functions-expression>] [BY <row-split><column-split>] | [OVER <row-split>] [BY <column-split>]

Обязательные аргументы

Обязательно использование хотя бы одной из функций:

ПараметрСинтаксисОписание
countcount | count(<field>)Вычисляет количество событий, содержащих поле. Если поле не указано, рассчитывает общее количество событий.
valuesvalues(<field>)Вычисляет массив уникальных значений по заданному полю.
avgavg(<field>)Вычисляет среднее значение по заданному полю.
dcdc(<field>)Вычисляет количество уникальных значений в заданном поле.
earliestearliest(<field>)Вычисляет значение поля для самого раннего события. В качестве второго (опционального) параметра передается имя поля с временной меткой. По умолчанию @timestamp.
firstfirst(<field>)Вычисляет первое значение по заданному полю.
lastlast(<field>)Вычисляет последнее значение по заданному полю.
latestlatest(<field>)Вычисляет значение поля для самого позднего события. В качестве второго (опционального) параметра передается имя поля с временной меткой. По умолчанию @timestamp.
listlist(<field>)Вычисляет массив всех значений по заданному полю.
maxmax(<field>)Вычисляет максимальное значение по заданному полю.
minmin(<field>)Вычисляет минимальное значение по заданному полю.
rangerange(<field>)Вычисляет разницу между максимальным и минимальным значением по заданному полю.
stdevstdev(<field>)Вычисляет среднеквадратическое отклонение по заданному полю.
sumsum(<field>)Вычисляет сумму значений по заданному полю.

Опциональные аргументы

ПараметрСинтаксисПо умолчаниюОписание
row-split<field>Название поля, которое становится первым столбцом в таблице результатов. Значения этого поля становятся значениями строк в таблице результатов.
column-split<field>Название поля, значения которого будут использоваться в названии столбцов таблицы результатов.

Примеры запросов

Пример 1

Запрос возвращает результаты выполнения values(user), values(message) для каждого значения поля age и host. Значения поля age распределяются по строкам, значения поля host используются в названии столбцов:

...
| chart values(user), values(message) by age, host

Пример 2

Запрос возвращает результаты выполнения values(user), values(message) для каждого значения поля age и host. Значения поля age распределяются по строкам, значения поля host используются в названии столбцов:

...
| chart values(user), values(message) over age by host

Пример 3

Запрос возвращает результат выполнения max(age) для каждого значения поля message:

...
| chart max(age) by message

Пример 4

Запрос возвращает результат выполнения max(age):

...
| chart max(age)