updatetable
Verwenden Sie den Befehl updatetable, um eine vorhandene Tabelle zu aktualisieren, die mit dem Befehl createtable erstellt wurde. Sie können eine Unterabfrage oder einen eval-Ausdruck auf die Tabelle anwenden und Felder ein- oder ausblenden. Dieser Befehl funktioniert nur in der Visualisierung link.
Syntax:
updatetable name = <name> <subquery>Parameter
In der folgenden Tabelle sind die in diesem Befehl verwendeten Parameter sowie deren Beschreibungen aufgeführt.
| Parameter | Beschreibung |
|---|---|
name |
Name der Tabelle, wie im Befehl |
subquery |
Die Unterabfrage, die auf die tabellarischen Daten angewendet werden soll. |
Der folgende Befehl berechnet die durchschnittliche Inhaltsgröße in GB und fügt die neue Spalte Avg Content Size (GB) zur Tabelle hinzu:
* | link Entity, Severity
| eventstats avg('Content Size') as 'Avg Content Size' by Severity
| createtable name = 'Size By Severity' select Severity, 'Avg Content Size'
| updatetable name = 'Size By Severity' [
*| eval 'Avg Content Size (GB)' = unit('Avg Content Size' / 1024 / 1024, GB)]Der folgende Befehl fasst die Top 3 durchschnittlichen Inhaltsgrößen zusammen:
* | link Entity, Severity
| eventstats avg('Content Size') as 'Avg Content Size' by Severity
| createtable name = 'Size By Severity' select Severity, 'Avg Content Size'
| updatetable name = 'Size By Severity' [ Severity != Info | top limit = 3 'Avg Content Size' ]