top
Mit diesem Befehl können Sie entweder die angegebene Anzahl von Feldwerten mit den meisten Vorkommen oder die angegebene Anzahl von Ergebnissen mit dem höchsten aggregierten Wert anzeigen, der vom angegebenen Feld bestimmt wird. Wenn das Feld einen aggregierten Wert darstellen muss, muss diesem Befehl ein stats- oder cluster-Befehl vorangestellt werden. Die Ergebnisse aus dem Befehl links neben dem Pipe-Zeichen werden basierend auf dem angegebenen Feld in absteigender Reihenfolge sortiert. Die angeforderte Anzahl an Ergebnissen wird angezeigt.
Syntax
top [<top_options>] <field_name> [by <field_name> [, <field_name>]*]Parameter
In der folgenden Tabelle sind die mit diesem Befehl verwendeten Parameter sowie deren Beschreibungen aufgeführt.
| Parameter | Beschreibung |
|---|---|
field_name |
Mit diesem Parameter geben Sie das Feld an, nach dem die höchsten aggregierten Werte bestimmt werden. |
top_options |
Syntax:
|
Die folgende Abfrage gibt die 10 häufigsten Logquellen zurück.
*| top 'log source'Die folgende Abfrage gibt die 10 Logquellen mit der höchsten Anzahl von Logeinträgen zurück.
* | stats count as cnt by 'Log Source'
| top cntDie folgende Abfrage gibt die 5 Hostentitys mit den meisten schwerwiegenden Logeinträgen zurück.
'Entity Type' = Host and Severity = fatal
| stats count as cnt by Entity, 'Entity Type'
| top limit = 5 cntDie folgende Abfrage gibt die 10 Zusammenfassungen mit der höchsten Anzahl ähnlicher Logdatensätze zurück.
* | cluster | top CountDie folgende Abfrage gibt die 2 höchste Anzahl von Logeinträgen für jeden Zieltyp zurück:
* | stats count as cnt by Target, 'Target Type'
| top limit = 2 cnt by 'Target Type'Die folgende Abfrage gibt die 2 höchste Bandbreitenauslastung für jede Quell-IP zurück:
* | link 'Client Host City', 'Source IP'
| stats sum('Content Size Out') as 'Bandwidth Usage'
| top limit = 2 'Bandwidth Usage' by 'Source IP'