top
Utilice este comando para mostrar el número especificado de valores de campo con la mayor cantidad de ocurrencias o el número especificado de resultados con el valor agregado más alto determinado por los campos especificados. Si el campo debe representar un valor añadido, este comando debe estar precedido por un comando stats o cluster. Los resultados del comando a la izquierda del carácter de pleca se ordenan en orden descendente, según el campo especificado y se muestra el número de resultados solicitado.
Sintaxis
top [<top_options>] <field_name> [by <field_name> [, <field_name>]*]Parámetros
En la siguiente tabla se muestran los parámetros utilizados con este comando, junto con sus descripciones.
| Parámetro | Descripción |
|---|---|
field_name |
Utilice este parámetro para especificar el campo según el cual se determinan los valores agregados más altos. |
top_options |
Sintaxis:
|
La siguiente consulta devuelve los 10 orígenes de log más frecuentes.
*| top 'log source'Con la siguiente consulta se devuelven los 10 orígenes de log con el mayor número de entradas de log.
* | stats count as cnt by 'Log Source'
| top cntCon la siguiente consulta se devuelven las 5 entidades host con las entradas de log más fatales.
'Entity Type' = Host and Severity = fatal
| stats count as cnt by Entity, 'Entity Type'
| top limit = 5 cntCon la siguiente consulta se devuelven los 10 resúmenes con el mayor número de registros log similares.
* | cluster | top CountLa siguiente consulta devuelve el número 2 más alto de entradas de log para cada tipo de destino:
* | stats count as cnt by Target, 'Target Type'
| top limit = 2 cnt by 'Target Type'La siguiente consulta devuelve el 2 mayor uso de ancho de banda para cada IP de origen:
* | link 'Client Host City', 'Source IP'
| stats sum('Content Size Out') as 'Bandwidth Usage'
| top limit = 2 'Bandwidth Usage' by 'Source IP'