accumコマンドを使うと、数値フィールドの累計値を算出できます。
例えば、日付順にデータを累計したい場合に使います。
サンプルコード
| makeresults | eval date = now() ,count=1 | append [| makeresults | eval date =relative_time(now(),"+1day") ,count=5] | append [| makeresults | eval date =relative_time(now(),"+2day") ,count=2] | append [| makeresults | eval date =relative_time(now(),"+3day") ,count=4] | eval dateutc = strftime(date,"%Y-%m-%d") | fields - _time date | fields dateutc count | accum count as totalcount
結果
元データ
makeresultsコマンドで生成しています。
| makeresults | eval date = now() ,count=1 | append [| makeresults | eval date =relative_time(now(),"+1day") ,count=5] | append [| makeresults | eval date =relative_time(now(),"+2day") ,count=2] | append [| makeresults | eval date =relative_time(now(),"+3day") ,count=4]
結果
累計
accumコマンドで累計します。
公式サイトを確認してもオプションは特にないので、とてもシンプルなコマンドですね。
| accum count as totalcount
結果
まとめ
私は主に日付別に累計で使ってます。(グラフ表示時に自動で累計してくれたりしますが、自力で計算することも多い)