bucket

`bucket`

bucketコマンドを使用して、フィールドの値の範囲に基づいてログ・レコードをバケットにグループ化します。バケットは、フィールドの値に基づいて自動的に作成することも、指定することもできます。

構文

* | bucket [<bucket_options>] <field_name> [<ranges>]

パラメータ

次の表に、このコマンドで使用されるパラメータとその説明を示します。

パラメータ説明

パラメータ	説明
`bucket_options`	構文: `[span = <size>] [maxbuckets= <maxbuckets>]` `size`は、各バケットのサイズを指定します。spanを指定しない場合、バケットは最小値と最大値の間で均等に区切られます。 `maxbuckets`は、作成するバケットの最大数を指定します。指定しない場合、デフォルトは10です。
`field_name`	グループ化に使用する数値フィールドを指定します。
`ranges`	構文: `[<range>] [,<range>, ...] [, others = <others>]` `range`の構文: `[alias] = <lower> - <upper>` `others`は、指定したどのバケットにも適合しない値を含むバケットの名前を指定します。指定しない場合、名前は`others`になります。

bucket_options

構文: [span = <size>] [maxbuckets= <maxbuckets>]

sizeは、各バケットのサイズを指定します。spanを指定しない場合、バケットは最小値と最大値の間で均等に区切られます。

maxbucketsは、作成するバケットの最大数を指定します。指定しない場合、デフォルトは10です。

field_name

グループ化に使用する数値フィールドを指定します。

ranges

構文: [<range>] [,<range>, ...] [, others = <others>]

rangeの構文: [alias] = <lower> - <upper>

othersは、指定したどのバケットにも適合しない値を含むバケットの名前を指定します。指定しない場合、名前はothersになります。

次のコマンドは、フィールドQuery Durationのバケットを自動的に作成します:

* | bucket 'Query Duration'

次のコマンドは、フィールドQuery Durationの5つのバケットを自動的に作成します:

* | bucket maxbuckets=5 'Query Duration'

次のコマンドは、フィールドQuery Durationのfast、mediumおよびslowという名前のバケットを自動的に作成します:

* | bucket 'Query Duration' fast=0-1000, medium=1001-5000, others=slow

次のコマンドは、フィールドGroup Durationのバケットを自動的に作成し、そのバケットをタイムスタンプ分析に使用します。

* | link | bucket 'Group Duration' | timestats sum('Content Size Out') by 'Group Duration'

次のコマンドは、フィールドContent Size Outのバケットを自動的に作成し、そのバケットをタイムスタンプ分析に使用します。

* | link | stats sum('Content Size Out') as 'Content Size Out' | bucket 'Content Size Out' | timestats Count by 'Content Size Out'