updatetable
Utilice el comando updatetable para actualizar una tabla existente creada mediante el comando createtable. Puede aplicar una subconsulta o una expresión eval a la tabla y mostrar u ocultar campos. Este comando sólo funciona en la visualización link.
Sintaxis:
updatetable name = <name> <subquery>Parámetros
En la siguiente tabla se muestran los parámetros utilizados en este comando, junto con sus descripciones.
| Parámetro | Descripción |
|---|---|
name |
Nombre de la tabla, tal como se utiliza en el comando |
subquery |
Subconsulta que se va a aplicar a los datos tabulados. |
El siguiente comando calcula el tamaño medio del contenido en GB y agrega la nueva columna Avg Content Size (GB) a la tabla:
* | link Entity, Severity
| eventstats avg('Content Size') as 'Avg Content Size' by Severity
| createtable name = 'Size By Severity' select Severity, 'Avg Content Size'
| updatetable name = 'Size By Severity' [
*| eval 'Avg Content Size (GB)' = unit('Avg Content Size' / 1024 / 1024, GB)]El siguiente comando resume los 3 tamaños de contenido promedio principales:
* | link Entity, Severity
| eventstats avg('Content Size') as 'Avg Content Size' by Severity
| createtable name = 'Size By Severity' select Severity, 'Avg Content Size'
| updatetable name = 'Size By Severity' [ Severity != Info | top limit = 3 'Avg Content Size' ]