使用 accum 命令计算每条事件中某个数字类型字段的累加和,累加和可以返回到您指定的累加字段或新字段中。
语法
accum field=<field> [as newField=<field>]
参数说明
必填参数:
- field: 需要进行累加操作的字段名称
可选参数:
- newField: 可选参数,将累加后的结果作为新字段添加到事件中。
注意事项
- accum命令仅支持对一个字段做累加操作。
示例
输入事件如下所示
事件1: a=1 b=2 c=3 d=1
事件2: a=2 b=3 c=4
事件3: a=3 b=4 c=5 d=1
1. search * | accum a 结果如下:
事件1: a=1 b=2 c=3 d=1
事件2: a=3 b=3 c=4
事件3: a=6 b=4 c=5 d=1
2. search * | accum a as sum
事件1: a=1 b=2 c=3 d=1 sum=1
事件2: a=2 b=3 c=4 sum=3
事件3: a=3 b=4 c=5 d=1 sum=6
3. search * | accum d
事件1: a=1 b=2 c=3 d=1
事件2: a=2 b=3 c=4
事件3: a=3 b=4 c=5 d=2
4. search * | accum d as sum
事件1: a=1 b=2 c=3 d=1 sum=1
事件2: a=2 b=3 c=4
事件3: a=3 b=4 c=5 d=1 sum=2
文档反馈
(如有产品使用问题,请 提交工单)
售前 
售后 