top
Utilisez cette commande pour afficher soit le nombre spécifié de valeurs de champ avec le plus d'occurrences, soit le nombre spécifié de résultats avec la valeur agrégée la plus élevée, déterminée par le champ spécifié. Si le champ doit représenter une valeur agrégée, cette commande doit être précédée d'une commande stats ou cluster. Les résultats de la commande à gauche de la barre verticale sont triés par ordre décroissant, en fonction du champ spécifié, et le nombre de résultats demandé est affiché.
Syntaxe
top [<top_options>] <field_name> [by <field_name> [, <field_name>]*]Paramètres
Le tableau suivant répertorie les paramètres utilisés avec cette commande, ainsi que leur description.
| Paramètre | Description |
|---|---|
field_name |
Utilisez ce paramètre pour spécifier le champ selon lequel les valeurs agrégées les plus élevées sont déterminées. |
top_options |
Syntaxe :
|
La requête suivante renvoie les 10 sources de journal les plus fréquentes.
*| top 'log source'La requête suivante renvoie les 10 sources de journal avec le plus grand nombre d'entrées de journal.
* | stats count as cnt by 'Log Source'
| top cntLa requête suivante renvoie les 5 entités d'hôte avec le plus d'entrées de journal de gravité Fatal.
'Entity Type' = Host and Severity = fatal
| stats count as cnt by Entity, 'Entity Type'
| top limit = 5 cntLa requête suivante renvoie les 10 récapitulatifs avec le plus grand nombre d'enregistrements de journal similaires.
* | cluster | top CountLa requête suivante renvoie le nombre le plus élevé d'entrées de journal pour chaque type de cible :
* | stats count as cnt by Target, 'Target Type'
| top limit = 2 cnt by 'Target Type'La requête suivante renvoie la consommation de bande passante la plus élevée (2) pour chaque adresse IP source :
* | link 'Client Host City', 'Source IP'
| stats sum('Content Size Out') as 'Bandwidth Usage'
| top limit = 2 'Bandwidth Usage' by 'Source IP'