bottom
Utilisez la commande bottom pour afficher les n résultats (où n est un nombre que vous spécifiez) dont la valeur agrégée est la plus faible, telle que déterminée par le champ spécifié. Cette commande doit être précédée d'une commande STATS ou CLUSTER. Lorsque vous utilisez cette commande, les résultats de la commande transmise avant la barre verticale sont triés par ordre croissant, en fonction du champ et du nombre indiqués lors de l'exécution de la requête.
Syntaxe
[stats|cluster] | bottom [limit=<limit>] <field_name>Paramètres
Le tableau suivant répertorie les paramètres utilisés dans cette commande, ainsi que leur description.
| Paramètre | Description |
|---|---|
|
|
Indiquez le champ sur lequel les résultats doivent être triés. |
|
|
Indiquez le nombre d'entrées à afficher. Si aucune valeur n'est fournie, la valeur par défaut |
La commande suivante renvoie les 10 sources de journal avec le plus petit nombre d'entrées de journal.
* | stats count as cnt by Source
| bottom cntLa commande suivante renvoie les 20 cibles avec le moins d'entrées de journal de gravité Fatal.
Severity = fatal
| stats count as cnt by 'Entity Type', Entity
| bottom limit = 20 cntLa commande suivante renvoie les 10 récapitulatifs avec le plus petit nombre d'enregistrements de journal similaires.
* | cluster
| bottom CountLa commande suivante renvoie le plus petit nombre d'entrées de journal pour chaque type de cible :
* | stats count as cnt by Target, 'Target Type'
| bottom limit = 2 cnt by 'Target Type'La commande suivante renvoie l'utilisation de bande passante la plus faible de 2 pour chaque adresse IP source :
* | link 'Client Host City', 'Source IP'
| stats sum('Content Size Out') as 'Bandwidth Usage'
| bottom limit = 2 'Bandwidth Usage' by 'Source IP'