<div dir="ltr"><div>Hi Bazsi, </div><div><br></div><div>I&#39;ve started to document the grouping-by parser, and have a few questions/comments about it:</div><div><br></div><div>* It seems that some of the grouping-by options are the same (or very similar) to the correlation-related attributes of the pattern database, but have different names. Could we name them consistently where they are the same? (I haven&#39;t checked the correlation module from Rust, but maybe we could align that as well.) </div><div>For example:<br>grouping-by  |  patterndb</div><div>  scope          | context-scope<br></div><div>  timeout       | context-timeout</div><div>  aggregate   | message or action</div><div><br></div><div><br></div><div>  * In the original commit message, you mention three possible values for the &#39;scope&#39; option, whereas the context-scope in the patterndb has four (program). Are these deliberately different, or they use the same code?<br></div><div><br></div><div> * grouping-by doesn&#39;t look to me as an actual parser. From the existing objects, it resembles a filter more (IMHO), but I&#39;d rather categorize it as something else that transforms/processes the incoming data, and should be therefore in a separate configuration object (along with the geoip parser). </div><div><br></div><div>Robert</div></div>