bottom
Verwenden Sie den bottom-Befehl, um n Ergebnisse (wobei n eine von Ihnen angegebene Zahl ist) mit dem niedrigsten aggregierten Wert anzuzeigen, der vom angegebenen Feld bestimmt wird. Vor diesem Befehl muss ein STATS- oder CLUSTER-Befehl stehen. Wenn Sie diesen Befehl verwenden, werden die Ergebnisse des Befehls, der vor dem Pipe-Zeichen übergeben wird, basierend auf dem Feld und der Zahl, die beim Ausführen der Abfrage angegeben wurden, in aufsteigender Reihenfolge sortiert.
Syntax
[stats|cluster] | bottom [limit=<limit>] <field_name>Parameter
In der folgenden Tabelle sind die in diesem Befehl verwendeten Parameter sowie deren Beschreibungen aufgeführt.
| Parameter | Beschreibung |
|---|---|
|
|
Geben Sie das Feld an, nach dem die Ergebnisse sortiert werden sollen. |
|
|
Geben Sie die Anzahl der anzuzeigenden Einträge an. Wenn kein Wert angegeben ist, wird der Standardwert |
Der folgende Befehl gibt die 10 Logquellen mit der niedrigsten Anzahl von Logeinträgen zurück.
* | stats count as cnt by Source
| bottom cntDer folgende Befehl gibt die 20 Ziele mit den wenigsten schwerwiegenden Logeinträgen zurück.
Severity = fatal
| stats count as cnt by 'Entity Type', Entity
| bottom limit = 20 cntDer folgende Befehl gibt 10 Zusammenfassungen mit der geringsten Anzahl ähnlicher Logdatensätze zurück.
* | cluster
| bottom CountDer folgende Befehl gibt die 2 niedrigste Anzahl von Logeinträgen für jeden Zieltyp zurück:
* | stats count as cnt by Target, 'Target Type'
| bottom limit = 2 cnt by 'Target Type'Der folgende Befehl gibt die 2 geringste Bandbreitenauslastung für jede Quell-IP zurück:
* | link 'Client Host City', 'Source IP'
| stats sum('Content Size Out') as 'Bandwidth Usage'
| bottom limit = 2 'Bandwidth Usage' by 'Source IP'