top
このコマンドを使用して、最も多く出現するフィールド値の指定数、または指定フィールドによって決定される最も高い集計値を含む結果の数を表示します。フィールドが集計値を表す必要がある場合は、このコマンドの前にstatsコマンドまたはclusterコマンドを実行する必要があります。パイプ文字の左側にあるコマンドの結果が、指定したフィールドに基づいて降順でソートされ、リクエストした数の結果が表示されます。
構文
top [<top_options>] <field_name> [by <field_name> [, <field_name>]*]パラメータ
次の表に、このコマンドで使用されるパラメータとその説明を示します。
| パラメータ | 説明 |
|---|---|
field_name |
このパラメータを使用して、最大の集計値を決定する際の基準にするフィールドを指定します。 |
top_options |
構文:
|
次の問合せは、最も頻度の高い10個のログ・ソースを返します。
*| top 'log source'次の問合せは、ログ・エントリの数が最も多い10個のログ・ソースを返します。
* | stats count as cnt by 'Log Source'
| top cnt次の問合せは、致命的なログ・エントリの数が最も多い5個のホスト・エントリを返します。
'Entity Type' = Host and Severity = fatal
| stats count as cnt by Entity, 'Entity Type'
| top limit = 5 cnt次の問合せは、類似したログ・レコードの数が最も多い10個のサマリーを返します。
* | cluster | top Count次の問合せは、ターゲット・タイプごとに最大2つのログ・エントリ数を返します:
* | stats count as cnt by Target, 'Target Type'
| top limit = 2 cnt by 'Target Type'次の問合せは、各ソースIPの最大帯域幅使用量2を戻します。
* | link 'Client Host City', 'Source IP'
| stats sum('Content Size Out') as 'Bandwidth Usage'
| top limit = 2 'Bandwidth Usage' by 'Source IP'