Является ли этот Splunk отличным представлением запроса количества в Kibana 6, Graylog 2.3 или альтернативах?

Можно ли представить следующий запрос Splunk:

index=* | stats dc(addr) as usercount by acct | where usercount > 1

Со следующим значением:

• принять различное количество значений addr (например, 127.0.0.1 и 10.0.0.1 -> 2)
• сгруппировать его по acct (например, "пользователь")
• отображать те, в которых количество значений превышает 1

В Kibana, Graylog или любом другом инструменте?

Мои исследования показали, что в Graylog это невозможно. Я попытался объединить значения addr и acct, установив настраиваемое поле через конвейер, а затем с помощью плагина Aggregates объединить и найти различные значения. https://marketplace.graylog.org/addons?kind=plugin&tag=aggregate

Проблема здесь в том, что значение комбинированных полей будет отличаться, когда есть два разных "acct" с одним и тем же "addr" - группировка не происходит. На трекере проблем с плагинами есть запрос на добавление этой функции. https://github.com/cvtienhoven/graylog-plugin-aggregates/issues/14

Далее я обнаружил, что с Elasticsearch и Kibana это можно сделать с помощью функции агрегации и инструмента ElastAlert. https://www.elastic.co/guide/en/elasticsearch/reference/current/search-aggregations.html

Есть альтернативные идеи?