clustersplit
Utilisez cette commande pour voir les données de journal d'un regroupement correspondant à des résultats classify spécifiques dans le format tabulaire.
Syntaxe
clustersplit collection=<collection_name> [<summary_expression>]Paramètres
Le tableau suivant répertorie les paramètres utilisés avec cette commande, ainsi que leurs descriptions.
| Paramètre | Description |
|---|---|
|
|
Utilisez ce paramètre pour indiquer la collecte dans laquelle les données de journal existent. La valeur de cette variable doit être dans le format |
|
|
Utilisez ce paramètre pour comparer l'ID à une expression. La valeur de ce paramètre doit être dans le format |
|
|
Utilisez ce paramètre en tant qu'opérateur de comparaison. Les valeurs possibles pour cette variable comprennent |
|
|
Ce paramètre doit être dans le format |
-
Collection : Nom de la collection où les données sont conservées
-
Id : ID regroupement unique dans la collecte
-
Source de journaux : Source du regroupement
-
Nombre : Nombre d'enregistrements de journaux avec cette signature
-
ID exemple : Identificateur unique de l'exemple de message
-
Exemple de message : Exemple d'enregistrement de journal à partir de la signature
-
Forme : Nombre calculé affecté à chaque tendance unique pour regrouper des tendances similaires
-
Tendance : Tendance des entrées de journal correspondant au modèle au fil du temps
-
Note : Valeur calculée affectée à chaque regroupement utilisé dans le tri par défaut
-
ID message de facette : Identificateur de rangée unique lors du fractionnement d'un regroupement par variables de facette
-
Variables : Informations détaillées sur toutes les variables de facette pour chaque exemple de message
-
ID document : Identificateur de document associé à l'exemple de message
L'interrogation suivante retourne les journaux ayant une gravité fatale inclus dans ID 1, dans la collecte 'Fatal logs'.
Severity = fatal | clustersplit collection = 'Fatal logs' id = 1