bottom
Utilizzare il comando bottom
per visualizzare il numero di risultati n (dove n è un numero specificato) con il valore aggregato più basso determinato dal campo specificato. Questo comando deve essere preceduto da un comando STATS
o CLUSTER
. Quando si utilizza questo comando, i risultati del comando passato prima del carattere pipe vengono ordinati in ordine crescente, in base al campo e al numero specificati durante l'esecuzione della query.
Sintassi
[stats|cluster] | bottom [limit=<limit>] <field_name>
Parametri
La tabella seguente elenca i parametri utilizzati in questo comando e le relative descrizioni.
Parametro | descrizione; |
---|---|
|
Specificare il campo in base al quale si desidera ordinare i risultati. |
|
Specificare il numero di voci che si desidera visualizzare. Se non viene specificato alcun valore, viene utilizzato il valore predefinito |
Il comando seguente restituisce le 10 origini log con il numero più basso di voci del log.
* | stats count as cnt by Source
| bottom cnt
Il comando seguente restituisce 20 destinazioni con il minor numero di voci di log fatali.
Severity = fatal
| stats count as cnt by 'Entity Type', Entity
| bottom limit = 20 cnt
Il comando seguente restituisce 10 riepiloghi con il minor numero di record di log simili.
* | cluster
| bottom Count
Il comando seguente restituisce il 2 numero più basso di voci di log per ciascun tipo di destinazione:
* | stats count as cnt by Target, 'Target Type'
| bottom limit = 2 cnt by 'Target Type'
Il comando seguente restituisce l'utilizzo della larghezza di banda minima 2 per ogni IP di origine:
* | link 'Client Host City', 'Source IP'
| stats sum('Content Size Out') as 'Bandwidth Usage'
| bottom limit = 2 'Bandwidth Usage' by 'Source IP'