rare
rare 命令用于识别字段列表中指定所有字段值组合中最不常见的组合。
对于分组字段中的每个不同值组合,该命令最多返回 10 条结果。
rare 命令不会被重写为查询领域特定语言 (DSL)。它仅在协调节点上执行。
语法
rare 命令的语法如下:
rare <field-list> [by-clause]
参数
rare 命令支持以下参数。
| 参数 | 必需/可选 | 描述 |
|---|---|---|
<field-list> |
必需 | 字段名的逗号分隔列表。 |
<by-clause> |
可选 | 用于对结果进行分组的一个或多个字段。 |
示例 1:按字段分组查找最不常见的值
以下查询使用带有 by 子句的 rare 命令,按性别分组查找最不常见的年龄值:
source=accounts
| rare age by gender
该查询返回以下结果:
示例 2:查找最不常见的值并显示频率计数
以下查询使用默认设置的 rare 命令来查找最不常见的性别值,并显示它们的频率计数:
source=accounts
| rare gender
该查询返回以下结果:
