frequent

frequentコマンドを使用して、フィールド・リスト内のすべてのフィールドの最も頻繁な値のn件の結果を表示します。オプションで、追加フィールドでグループ化できます。

構文

frequent [<frequent_options>] <field_name> [, <field_name>), ...] [as <new_field_name>] [by <field_name> [, <field_name>]*]

パラメータ

次の表に、このコマンドで使用されるパラメータとその説明を示します。

パラメータ 説明

field_name

頻度の高い値を決定する必要があるフィールドを指定します。

frequent_options

構文:

[limit = <limit>] [showcount = [true|false]] [showpercent = [true|false]]

limit: 返す数値結果を指定します。指定しない場合、デフォルトは10です。値が-1の場合、すべての行が返されます。

showcount: 結果に頻度カウントを戻す必要があるかどうかを指定します。デフォルト値がfalse(指定されていない場合)です。

showpercent: 結果に頻度率を戻す必要があるかどうかを指定します。デフォルト値がfalse(指定されていない場合)です。

次の問合せは、頻度が最も高い重大度値を持つ10個のエンティティを返します。

linkコマンドを使用して:

* | link Entity
    | stats latest(Severity) as Severity
    | frequent Severity

linkコマンドを使用しない場合:

* | stats latest(Severity) as Severity by Entity
    | frequent Severity