top
Utilizzare questo comando per visualizzare il numero specificato di valori di campo con il maggior numero di occorrenze oppure il numero specificato di risultati con il valore aggregato più alto determinato dal campo specificato. Se il campo deve rappresentare un valore aggregato, questo comando deve essere preceduto da un comando stats o cluster. I risultati del comando a sinistra del carattere pipe vengono ordinati in ordine decrescente in base al campo specificato e viene visualizzato il numero di risultati richiesto.
Sintassi
top [<top_options>] <field_name> [by <field_name> [, <field_name>]*]Parametri
Nella tabella seguente sono elencati i parametri utilizzati con questo comando, insieme alle relative descrizioni.
| Parametro | Descrizione |
|---|---|
field_name |
Utilizzare questo parametro per specificare il campo in base al quale vengono determinati i valori aggregati più alti. |
top_options |
Sintassi:
|
La query seguente restituisce le 10 origini log più frequenti.
*| top 'log source'La query seguente restituisce le 10 origini log con il numero massimo di voci di log.
* | stats count as cnt by 'Log Source'
| top cntLa query seguente restituisce le 5 entità host con le voci di log più fatali.
'Entity Type' = Host and Severity = fatal
| stats count as cnt by Entity, 'Entity Type'
| top limit = 5 cntLa query seguente restituisce i 10 riepiloghi con il numero più alto di record di log simili.
* | cluster | top CountLa query seguente restituisce il numero massimo di 2 voci di log per ogni tipo di destinazione:
* | stats count as cnt by Target, 'Target Type'
| top limit = 2 cnt by 'Target Type'La query seguente restituisce l'utilizzo della larghezza di banda 2 più elevata per ogni IP di origine:
* | link 'Client Host City', 'Source IP'
| stats sum('Content Size Out') as 'Bandwidth Usage'
| top limit = 2 'Bandwidth Usage' by 'Source IP'