bottom
Utilisez la commande bottom pour afficher n résultats (où n est un nombre que vous spécifiez) avec la valeur agrégée la plus faible pour le champ spécifié. Cette commande doit être précédée d'une commande STATS ou CLUSTER. Lorsque vous utilisez cette commande, les résultats de la commande transmis avant la barre verticale sont triés par ordre croissant, en fonction du champ et du nombre indiqués lors de l'exécution de l'interrogation.
Syntaxe
[stats|cluster] | bottom [limit=<limit>] <field_name>Paramètres
Le tableau suivant répertorie les paramètres utilisés dans cette commande, ainsi que leur description.
| Paramètre | Description |
|---|---|
|
|
Spécifiez le champ selon lequel les résultats doivent être triés. |
|
|
Indiquez le nombre d'entrées à afficher. Si aucune valeur n'est spécifiée, la valeur par défaut |
La commande suivante retourne les 10 sources de journaux ayant le plus petit nombre d'entrées de journal.
* | stats count as cnt by Source
| bottom cntLa commande suivante retourne 20 cibles ayant le moins d'entrées de journal avec une gravité fatale.
Severity = fatal
| stats count as cnt by 'Entity Type', Entity
| bottom limit = 20 cntLa commande suivante retourne 10 sommaires avec le plus petit nombre d'enregistrements de journal similaires.
* | cluster
| bottom CountLa commande suivante retourne les 2 entrées de journal les plus faibles pour chaque type de cible :
* | stats count as cnt by Target, 'Target Type'
| bottom limit = 2 cnt by 'Target Type'La commande suivante retourne les 2 utilisations de bande passante les plus faibles pour chaque adresse IP source :
* | link 'Client Host City', 'Source IP'
| stats sum('Content Size Out') as 'Bandwidth Usage'
| bottom limit = 2 'Bandwidth Usage' by 'Source IP'