bottom

Utilizzare il comando bottom per visualizzare il numero di risultati n (dove n è un numero specificato) con il valore aggregato più basso determinato dal campo specificato. Questo comando deve essere preceduto da un comando STATS o CLUSTER. Quando si utilizza questo comando, i risultati del comando passato prima del carattere pipe vengono ordinati in ordine crescente, in base al campo e al numero specificati durante l'esecuzione della query.

Sintassi

[stats|cluster] | bottom [limit=<limit>] <field_name>

Parametri

La tabella seguente elenca i parametri utilizzati in questo comando e le relative descrizioni.

Parametro descrizione;

field_name

Specificare il campo in base al quale si desidera ordinare i risultati.

limit

Specificare il numero di voci che si desidera visualizzare. Se non viene specificato alcun valore, viene utilizzato il valore predefinito 10. Se si immette il valore -1, vengono restituite tutte le righe.

Il comando seguente restituisce le 10 origini log con il numero più basso di voci del log.

* | stats count as cnt by Source 
    | bottom cnt

Il comando seguente restituisce 20 destinazioni con il minor numero di voci di log fatali.

Severity = fatal 
    | stats count as cnt by 'Entity Type', Entity 
    | bottom limit = 20 cnt

Il comando seguente restituisce 10 riepiloghi con il minor numero di record di log simili.

* | cluster 
    | bottom Count

Il comando seguente restituisce il 2 numero più basso di voci di log per ciascun tipo di destinazione:

* | stats count as cnt by Target, 'Target Type' 
    | bottom limit = 2 cnt by 'Target Type'

Il comando seguente restituisce l'utilizzo della larghezza di banda minima 2 per ogni IP di origine:

* | link 'Client Host City', 'Source IP' 
    | stats sum('Content Size Out') as 'Bandwidth Usage' 
    | bottom limit = 2 'Bandwidth Usage' by 'Source IP'