updatetable
Utilisez la commande updatetable pour mettre à jour une table existante créée à l'aide de la commande createtable. Vous pouvez appliquer une sous-interrogation ou une expression eval à la table, et afficher ou masquer des champs. Cette commande fonctionne uniquement dans la visualisation link.
Syntaxe :
updatetable name = <name> <subquery>Paramètres
Le tableau suivant répertorie les paramètres utilisés dans cette commande, ainsi que leur description.
| Paramètre | Description |
|---|---|
name |
Nom de la table, comme utilisé dans la commande |
subquery |
Sous-interrogation à appliquer aux données sous forme de tableau. |
La commande suivante calcule la taille moyenne du contenu en Go et ajoute la nouvelle colonne Avg Content Size (GB) à la table :
* | link Entity, Severity
| eventstats avg('Content Size') as 'Avg Content Size' by Severity
| createtable name = 'Size By Severity' select Severity, 'Avg Content Size'
| updatetable name = 'Size By Severity' [
*| eval 'Avg Content Size (GB)' = unit('Avg Content Size' / 1024 / 1024, GB)]La commande suivante récapitule les 3 principales tailles moyennes de contenu :
* | link Entity, Severity
| eventstats avg('Content Size') as 'Avg Content Size' by Severity
| createtable name = 'Size By Severity' select Severity, 'Avg Content Size'
| updatetable name = 'Size By Severity' [ Severity != Info | top limit = 3 'Avg Content Size' ]