top
Utilisez cette commande pour afficher soit le nombre spécifié de valeurs de champ avec le plus d'occurrences, soit le nombre spécifié de résultats avec la valeur agrégée la plus élevée pour le champ spécifié. Si le champ doit représenter une valeur agrégée, cette commande doit être précédée d'une commande stats ou cluster. Les résultats de la commande à gauche de la barre verticale sont triés par ordre décroissant, en fonction du champ spécifié, et le nombre de résultats demandé est affiché.
Syntaxe
top [<top_options>] <field_name> [by <field_name> [, <field_name>]*]Paramètres
Le tableau suivant répertorie les paramètres utilisés avec cette commande, ainsi que leur description.
| Paramètre | Description |
|---|---|
field_name |
Utilisez ce paramètre pour spécifier le champ en fonction duquel les valeurs agrégées les plus élevées sont déterminées. |
top_options |
Syntaxe :
|
L'interrogation suivante retourne les 10 sources de journaux les plus fréquentes.
*| top 'log source'L'interrogation suivante retourne les 10 sources de journaux avec le plus grand nombre d'entrées de journal.
* | stats count as cnt by 'Log Source'
| top cntL'interrogation suivante retourne les 5 entités d'hôte avec les entrées de journal les plus fatales.
'Entity Type' = Host and Severity = fatal
| stats count as cnt by Entity, 'Entity Type'
| top limit = 5 cntL'interrogation suivante retourne les 10 sommaires avec le plus grand nombre d'enregistrements de journal similaires.
* | cluster | top CountL'interrogation suivante retourne le nombre le plus élevé d'entrées de journal pour chaque type de cible :
* | stats count as cnt by Target, 'Target Type'
| top limit = 2 cnt by 'Target Type'L'interrogation suivante retourne les 2 utilisations de bande passante les plus élevées pour chaque adresse IP source :
* | link 'Client Host City', 'Source IP'
| stats sum('Content Size Out') as 'Bandwidth Usage'
| top limit = 2 'Bandwidth Usage' by 'Source IP'