clustersplit
Utilisez cette commande pour visualiser les données de journal d'un cluster de façon à obtenir des résultats classify spécifiques sous forme de table.
Syntaxe
clustersplit collection=<collection_name> [<summary_expression>]Paramètres
Le tableau suivant répertorie les paramètres que vous pouvez utiliser avec cette commande, ainsi que leur description.
| Paramètre | Description |
|---|---|
|
|
Utilisez ce paramètre pour indiquer la collection dans laquelle les données de journal existent. La valeur de cette variable doit être au format |
|
|
Utilisez ce paramètre pour comparer l'ID à une expression. La valeur de ce paramètre doit être au format |
|
|
Utilisez ce paramètre comme opérateur de comparaison. Les valeurs possibles pour cette variable sont |
|
|
Ce paramètre doit être au format |
-
Collection : nom de la collection dans laquelle les données sont conservées
-
ID : ID de cluster unique au sein de la collection
-
Source de journal : source du cluster
-
Nombre : nombre d'enregistrements de journal avec cette signature
-
Exemple d'ID : identificateur unique de l'exemple de message
-
Exemple de message : exemple d'enregistrement de journal à partir de la signature
-
Forme : nombre calculé affecté à chaque tendance unique pour regrouper les tendances similaires
-
Tendance : tendance des entrées de journal qui correspondent au modèle au fil du temps
-
Score : valeur calculée affectée à chaque cluster, utilisée dans le tri par défaut
-
ID de message de facet : identificateur de ligne unique lors du fractionnement d'un cluster selon des variables de facet
-
Variables : informations détaillées sur toutes les variables de facet pour chaque exemple de message
-
ID de document : identificateur de document associé à l'exemple de message
La requête suivante renvoie les journaux dont la gravité est Fatal inclus dans ID 1, dans la collection 'Fatal logs'.
Severity = fatal | clustersplit collection = 'Fatal logs' id = 1