nameというフィールドに、同じappAという名前が、「app A」、「app a」、「App A」などのようにいくつかvalueの入力方法が異なってしまい、stats countした際に別のものとして認識されてしまいます。 eval case()とかで指定すると、他の正常に入ってきているデータが省かれてしまうので、 他にうまくまとめる方法はございますでしょうか。
以下、一旦小文字に変換してから count してますが、どうでしょうか。
... | eval yourfield=lower(yourfield) | stats count by yourfield
View solution in original post
これだけだと、nameの中にあるスペースの有無や、日本語と英語で書かれているものを別のものと認識したままになってしまいます。。。。 (例:日本語でグーグルと入っているものと英語でGoogleと入っているものも名前は一緒なので1つのものとしてカウントさせたいです)
