Documentazione dell'infrastruttura Oracle Cloud

Ricerca query

Oracle Logging Analytics consente di filtrare e analizzare grandi quantità di dati di log nei database aziendali, attraverso un'unica visualizzazione unificata e personalizzabile, facile da leggere e navigare. Utilizzare la funzione di ricerca integrata per filtrare tutti i dati di log disponibili e restituire voci di log specifiche.

Oracle Logging Analytics Search consente di eseguire il drill-down di voci di log specifiche, consentendo analisi e monitoraggio mirati in tutta l'azienda. Utilizzare il linguaggio di query di Oracle Logging Analytics per formulare le query di ricerca, che recupereranno le voci di log specifiche del problema che si sta risolvendo.

Il linguaggio di query per l'analisi dei log consente di specificare l'azione da eseguire sui risultati della ricerca. I comandi possono essere comandi di ricerca o comandi statistici. I comandi di ricerca sono i comandi che filtrano ulteriormente le voci di log disponibili. I comandi statistici eseguono operazioni statistiche sui risultati della ricerca. Per l'elenco completo dei comandi, la relativa sintassi e gli esempi in cui utilizzarli, vedere Riferimento sui comandi.

Il linguaggio di query di Oracle Logging Analytics consente di:

  • Filtra ed esplora tutti i dati di log disponibili

  • Esegui analisi causa principale

  • Esegui analisi statistiche su entità selezionate

  • Generare report

  • Salva query di ricerca per uso futuro

  • Recupera ricerche salvate per creare dashboard

È possibile creare la query di ricerca trascinando gli elementi dal pannello Campo e rilasciandoli nelle sezioni appropriate della colonna Visualizza oppure immettendo direttamente la query nel campo Cerca. Per ulteriori informazioni sull'uso dell'interfaccia utente per formulare le query, vedere Formula query mediante l'interfaccia utente di Logging Analytics.

Per scrivere query performanti utilizzando il comando regex, fare riferimento alla sintassi RE2J in Java Implementation of RE2.

Uso guidato query

Logging Analytics ora offre una guida attiva per imparare rapidamente a scrivere query e fornisce anche un ampio set di query di esempio per l'analisi avanzata.

Fare clic sull'icona della Guida Icona Guida della query accanto alla barra di query in Log Explorer per aprire la Guida guidata della query. In pochi minuti è possibile comprendere il formato e la sintassi delle query che è possibile comporre. Eseguire le query di esempio a partire dalla ricerca di base per l'analisi avanzata e acquisire familiarità con il riferimento della query. La procedura guidata fornisce alcuni suggerimenti e collegamenti per rendere la ricerca efficiente. È inoltre possibile visualizzare il risultato dell'esecuzione di alcuni dei comandi comuni per i casi d'uso tipici.

argomenti:

Vedere anche Filtra log per maschera hash.

Cerca nei log usando parole chiave e frasi

I comandi vengono utilizzati per recuperare i dati di log ed eseguire la manipolazione di tali dati. Il primo (e implicito) comando di una query è il comando di ricerca. Una ricerca è una serie di comandi delimitati da una barra verticale (|). La prima stringa della spaziatura bianca successiva al carattere pipe identifica il comando da utilizzare. Il carattere pipe indica che i risultati del comando precedente devono essere utilizzati come input per il comando successivo.

Ad esempio, per cercare tutti i messaggi di errore del database, immettere la seguente espressione logica nella barra Cerca di Oracle Logging Analytics: 

Severity = 'error' AND 'Entity Type' = 'Database Instance'

Inserendo le parole tra virgolette e includendole nella stringa di query come frase (‘Database Instance’, ad esempio), vengono restituiti solo i log contenenti la frase ‘Database Instance’. Inoltre, le ricerche di parole chiave in cui la sottostringa potrebbe essere interpretata come una direttiva separata dovrebbero essere specifiche tra virgolette. Ad esempio, per cercare la stringa and, è necessario immettere la stringa tra virgolette singole (‘and’) per evitare che il sistema utilizzi il suo significato booleano.

Per ulteriori esempi e dettagli sull'uso del linguaggio di query per eseguire ricerche nei log, vedere Scrivere query di ricerca.

Elenco delle ricerche recenti

Oracle Logging Analytics consente di selezionare ed eseguire una ricerca utilizzata di recente. Quando si fa clic sul campo Cerca o si immette testo nel campo Cerca, Oracle Logging Analytics visualizza una lista di ricerche utilizzate di recente. Ciò consente di accedere rapidamente ai comandi di ricerca utilizzati di recente. È possibile selezionare uno qualsiasi dei comandi elencati e fare clic su Esegui per eseguire il comando di ricerca selezionato.

Nota

L'elenco utilizzato di recente è disponibile per sessione. Pertanto, se si esce da Oracle Logging Analytics e si accede di nuovo, l'elenco della sessione precedente non viene visualizzato. Viene creato un nuovo elenco di ricerche recenti per la sessione.

Utilizzare la funzione Suggerimento automatico

Quando si immette una query nel campo Cerca, la funzione di suggerimento automatico di Oracle Logging Analytics suggerisce automaticamente termini che è possibile utilizzare nella query. Oracle Logging Analytics visualizza una lista di suggerimenti basata sul testo immesso nel campo Cerca. Ad esempio, se è stato immesso il nome di un campo o di un'azione di ricerca, la funzione di suggerimento automatico visualizza i valori possibili solo per tale campo o l'elenco delle azioni disponibili.

Scrivi query di ricerca

È possibile specificare entità, parole chiave, frasi o caratteri jolly, operatori di confronto, espressioni booleane, funzioni e ora per creare la query di ricerca di Oracle Logging Analytics.

Per utilizzare la funzione Cerca in Oracle Logging Analytics, è necessario formulare una query di ricerca e immetterla nel campo Cerca.

argomenti:

Vedere anche Parametri URL di Log Explorer.

Usa interfaccia utente di Logging Analytics

L'interfaccia utente di Oracle Logging Analytics consente di formulare la query di ricerca.

È possibile utilizzare i seguenti elementi dell'interfaccia utente per formulare la query di ricerca:

  • Barra di ricerca: la query di ricerca viene visualizzata qui. È possibile modificare direttamente il testo in questo campo per perfezionare ulteriormente i risultati della ricerca.

    La barra di ricerca cresce o si riduce in base al numero di righe aggiunte alla query. Può avere un massimo di 21 righe e un minimo di 1 riga. Di seguito sono riportati alcuni dei collegamenti personalizzati disponibili.

    • Ctrl + i: consente di rientrare ogni riga di testo presente nell'editor. Tenere presente che la lettera maiuscola I apre il debugger.
    • Ctrl + Enter: esegue la query visualizzata nell'editor
    • Ctrl + Space: visualizza la lista di opzioni completata automaticamente in base alla posizione del cursore
    • Ctrl + Z: annulla l'ultima modifica
    • Ctrl + Y: Ripete l'ultima modifica
    • Ctrl + D: elimina la riga corrente

    Nota: non utilizzare il tasto SHIFT se non specificato.

    Posizionare il cursore tra parentesi aperte o di chiusura per visualizzare l'elemento corrispondente evidenziato. Gli elementi che possono essere evidenziati sono ( ) e [ ].

    La barra di ricerca supporta due temi diversi, il colore e la scala di grigi. È possibile modificare i temi in modo dinamico modificando l'opzione nel popup della Guida.

  • Campo: il pannello Campo è diviso nelle seguenti sezioni:

    • Gli attributi Pinnati consentono di filtrare i dati di log in base ai seguenti elementi:

      • Origini di log, ad esempio log del database, log di Oracle WebLogic Server e così via.

      • Entità di log, ovvero i nomi effettivi dei file di log.

      • Etichette, che sono tag aggiunte alle voci di log quando le voci di log corrispondono a condizioni definite specifiche.

      • Carica i nomi dei dati di log caricati su richiesta.

      Per impostazione predefinita, le entità e i dettagli della raccolta sono disponibili nel bucket con pin del pannello Campi per l'applicazione dei filtri. È possibile fissare campi aggiuntivi al bucket appuntato in base all'utilizzo. Una volta appuntati, i campi vengono spostati nel bucket appuntato. È possibile sbloccare qualsiasi campo e rimuoverlo dal bucket bloccato e spostarlo di nuovo nel bucket Interessante o Altro.

    • In base alla ricerca e alle query, Oracle Log Analytics aggiunge automaticamente campi al bucket Interesse per riferimento rapido. È possibile fissare un campo disponibile nel bucket Interessante. Il campo appuntato viene quindi spostato nel bucket appuntato.

    • È possibile fissare in memoria qualsiasi campo nel bucket Altro e spostarlo nel bucket appuntato. Se si utilizza un campo dell'altro bucket nella ricerca o nella query, il bucket viene spostato nel bucket Interessante.

      Le opzioni selezionate vengono aggiunte automaticamente alla query nella barra Cerca.

  • Visualizza: in questo riquadro è possibile selezionare la modalità di visualizzazione dei risultati della ricerca. Nel campo Raggruppa per è possibile decidere le metriche in base alle quali raggruppare i risultati.

  • Salva: utilizzare questo pulsante per salvare la query di ricerca attualmente presente nel campo Cerca, da eseguire in un secondo momento.

  • Apri: utilizzare questo pulsante per visualizzare le query di ricerca salvate in precedenza. È possibile eseguire queste query e ottenere i risultati correnti oppure utilizzare queste query per creare dashboard.

  • Nuovo: utilizzare questo pulsante per avviare una nuova query di ricerca.

  • Esporta: utilizzare questo pulsante per esportare il risultato della query di ricerca corrente in un file in formato Comma-seperated Values(CSV) o JavaScript Object Notation(JSON).

  • Esegui: utilizzare questo pulsante per eseguire la query attualmente presente nel campo Cerca.

  • Selettore tempo: utilizzare il selettore ora per specificare il periodo di tempo.

  • Riquadro di visualizzazione: in questo riquadro vengono visualizzati i risultati della query di ricerca. Le informazioni filtrate in questo riquadro vengono caricate quando viene eseguita la query nel campo Cerca. Facendo clic su un'area qualsiasi del grafico nel riquadro di visualizzazione, è possibile eseguire il drill-down della query di ricerca e aggiornarla.

Usa parole chiave, frasi e caratteri jolly

Le query di stringa possono includere parole chiave e frasi. Una parola chiave è una singola parola (ad esempio, database), mentre una frase si riferisce a più parole, racchiusa tra virgolette singole (‘ ‘) o doppie (“ “) (ad esempio, ‘database connection’). Se si specifica una parola chiave o una frase nella query, dopo l'esecuzione della query vengono restituite tutte le voci di log contenenti la parola chiave o la frase specificata.

Il linguaggio di ricerca di Oracle Logging Analytics supporta anche il mapping di pattern speciale. In altre parole, è possibile utilizzare caratteri jolly, ad esempio asterisco (*), punto interrogativo (?) e percentuale (%), per completare le parole chiave.

La tabella riportata di seguito elenca i caratteri jolly supportati e fornisce una breve descrizione di ciascuno di essi.

Carattere jolly descrizione;

?

Questo carattere deve corrispondere esattamente ad un carattere delle possibilità offerte alla parola chiave. Ad esempio, se si immette host?, la parola chiave host1 viene considerata una corrispondenza, mentre host.foo.bar non lo è.

* o %

Usare una di queste lettere per associare alla parola chiave 0 o più caratteri delle possibilità. Ad esempio, se si immette host* o host%, host1 e host.foo.bar verranno considerati corrispondenti alla parola chiave. Analogamente, se si immette %host%, ahostb e myhost verranno considerati corrispondenti alla parola chiave specificata.

È possibile specificare più parole chiave. Ad esempio, database e connection. Vengono restituiti i log contenenti le parole database e connection (ma non necessariamente insieme). Tuttavia, queste parole non devono necessariamente avvenire consecutivamente. Tuttavia, racchiudendo le parole tra virgolette e includendole nella stringa di query come frase (‘database connection’, ad esempio), vengono restituiti solo i log contenenti la frase ‘database connection’. Per informazioni sull'utilizzo di più parole chiave, vedere Uso delle espressioni booleane.

Quando si specifica una parola chiave o una frase, tenere presente quanto riportato di seguito.

  • Per le parole chiave e le stringhe di frase non viene fatta distinzione tra maiuscole e minuscole.

  • Le parole chiave non racchiuse tra virgolette devono contenere solo caratteri alfanumerici, il carattere di sottolineatura (_) e i caratteri jolly (*, % e ?).

  • Le ricerche con parole chiave in cui la sottostringa potrebbe essere interpretata come una direttiva separata devono essere specifiche tra virgolette. Ad esempio, per cercare la stringa and, sarà necessario immetterla tra apici (‘and’) per evitare che il sistema riprenda il significato booleano.

Nota

Per utilizzare i caratteri jolly nel campo message, è necessario utilizzare anche LIKE o LIKE IN. Di seguito sono riportati alcuni esempi di utilizzo dei caratteri jolly con message.
ORA-* AND message LIKE 'connection* error*'
ORA-* AND message LIKE IN ('tablesp*','connection* error*')

Usa operatori di confronto

Gli operatori di confronto sono condizioni specificate per stabilire una relazione tra un campo e il relativo valore. I campi senza valori vengono considerati nulli.

La tabella seguente elenca gli operatori di confronto supportati e fornisce una breve descrizione di ciascuno di essi.

Operatore di confronto descrizione;
< Se si utilizza questo operatore nella query, vengono restituite tutte le voci di log con un valore minore del valore specificato per il campo corrispondente.
<= Se si utilizza questo operatore nella query, vengono restituite tutte le voci di log con un valore, per il campo corrispondente, minore o uguale al valore specificato.
> Se si utilizza questo operatore nella query, vengono restituite tutte le voci di log con un valore, per il campo corrispondente, di maggiore di il valore specificato.
>= Se si utilizza questo operatore nella query, vengono restituite tutte le voci di log con un valore maggiore o uguale a per il campo corrispondente.
= Se si specifica questo operatore nella query, vengono restituite tutte le voci di log con il valore uguale a per il campo corrispondente.
!= Se si specifica questo operatore nella query, vengono restituite tutte le voci di log con un valore diverso da per il campo corrispondente.

Utilizzare questi operatori per trovare i log con campi con valori specifici. Ad esempio, specificare Severity=’ERROR’ per eseguire la ricerca nei log disponibili in cui il valore del campo Severity è ERROR. Analogamente, Severity!=NULL restituisce tutti i log in cui il valore del campo Severity non è nullo, ovvero in cui è stata specificata la severità.

Nota

Se il valore non è numerico o NULL, è necessario specificare il valore a destra dell'operatore di confronto tra virgolette.

Usa espressioni booleane

La funzione di ricerca di Oracle Logging Analytics dispone delle funzionalità LIKE e REGEX, in base alle convenzioni standard. Le espressioni booleane possono avere un valore true o false.

Nella tabella seguente sono elencate le espressioni booleane supportate, insieme a una breve descrizione di ciascuna.

Espressione booleana descrizione;
AND Utilizzare questa espressione per visualizzare solo i log che contengono entrambi i parametri specificati.
NOT IN o IN Utilizzare questa espressione per trovare i dati contenuti in un subset specificato di dati disponibili. Ad esempio, ‘Entity Type’ IN (‘Database Instance’,‘Automatic Storage Management’,’Listener’,’Cluster’) considererà in primo luogo solo i log che contengono ‘Database Instance’, ‘Automatic Storage’, Listener o Cluster, quindi identificherà i log che contengono ‘Entity Type’. Tuttavia, quando si utilizza NOT IN, vengono restituite le voci di log con la parola chiave o la frase specificata, escluse le voci specificate. Ad esempio, ‘Entity Type’ NOT IN (‘Database Instance’,’Automatic Storage Management’,’Listener’,’Cluster’) prima filtra le voci di log con ‘Database Instance’, ‘Automatic Storage Management’, Listener e Cluster, quindi restituisce quelle voci di log in cui il valore di ‘Target Type’ non è uno dei valori specificati.

La parola riservata NULL è supportata con questo operatore booleano.

NOT LIKE o LIKE Utilizzare questa espressione per trovare dati che corrispondono o non corrispondono al pattern di caratteri specificato. Il pattern di caratteri è una stringa che può contenere uno o più caratteri jolly.
NOT LIKE IN o LIKE IN Analogamente a [NOT] IN, questa espressione consente di utilizzare una abbreviazione per esprimere più clausole LIKE insieme.
OR Utilizzare questa opzione per visualizzare i log che contengono uno dei parametri specificati.

Il linguaggio di ricerca di Oracle Logging Analytics supporta la nidificazione delle espressioni booleane in altre espressioni booleane. Considerare ad esempio la seguente query: 

fatal ('order' OR host LIKE '*.oracle.com')

L'esecuzione di questa query restituisce tutti i log che contengono fatal e contengono la parola chiave order oppure provengono da un host il cui nome termina con .oracle.com.

Formulare query mediante l'interfaccia utente di Logging Analytics

È possibile utilizzare l'interfaccia utente di Oracle Logging Analytics per formulare la query di ricerca.

Per impostazione predefinita, la query * | stats count by ‘log source’ viene specificata nel campo Cerca.

Per visualizzare i dati per entità specifiche, effettuare le operazioni riportate di seguito.

  1. Aprire il menu di navigazione e fare clic su Osservabilità e gestione. In Logging Analytics fare clic su Explorer log.

  2. Nell'intestazione Entità del pannello Campi, selezionare Entità o Tipo di entità, a seconda della modalità di visualizzazione delle entità. In questo modo i database registrati vengono raggruppati in base alla selezione effettuata. Ad esempio, se si seleziona Tipo di entità, le entità selezionate vengono raggruppate in base ai relativi tipi.

  3. Selezionare l'entità o il tipo di entità per il quale si desidera visualizzare i dati.

  4. Fare clic su Invia.

    Il pulsante Cancella viene visualizzato accanto all'entità selezionata e i dati vengono visualizzati nel riquadro di visualizzazione.

Per visualizzare i dati per un campo specifico, effettuare le operazioni riportate di seguito.

  1. Selezionare il tipo di campo nel pannello Campi e nel bucket Pinnato, Interessante o Altro.

  2. Selezionare Etichetta, Entità log, Origine log, Proprietario o Nome caricamento per i quali si desidera visualizzare i dati. È possibile selezionare più di un'etichetta, entità di log, origine di log, Proprietario o Nome caricamento.

  3. Fare clic su Invia.

    I dati per il campo vengono caricati nel riquadro di visualizzazione.

Specificare l'intervallo di tempo nella query

In genere, l'intervallo di tempo selezionato in Log Explorer non è incluso nella stringa di query. È possibile specificare l'intervallo di tempo nella query utilizzando il modificatore tempo assoluto o tempo relativo nel comando search.

Temi:
Nota

In caso di ricerca salvata, l'intervallo di tempo selezionato in Log Explorer durante la creazione della ricerca salvata viene memorizzato come uno dei componenti della ricerca salvata. Quando si utilizza la ricerca salvata, è possibile modificare l'ora utilizzando il selettore intervallo di tempo in Log Explorer.

D'altra parte, quando l'intervallo di tempo è specificato in una query, l'intervallo di tempo selezionato in Log Explorer viene ignorato. L'intervallo di tempo incluso nella query viene utilizzato per l'analisi del log. Quando si salva questa query come ricerca salvata, l'intervallo di tempo specificato nella query viene considerato per i task di ricerca salvata e non per l'ora specificata in Log Explorer.

Alcuni esempi in cui è possibile specificare un intervallo di tempo nella query:

  • Restituisce tutti i log degli errori ORA-600 trovati nelle ultime 24 ore:

    Message like 'ORA-600%' and time > dateRelative(24h)

  • Restituisce il conteggio di log per la destinazione host myHost negli ultimi 90 giorni. 

    'Host Name (Server)' = myHost and Time > dateRelative(90day) | stats count as 'Num Host Logs'

Funzioni basate sul tempo che possono essere utilizzate con il comando search

Le seguenti funzioni basate sul tempo possono essere utilizzate solo con il comando search:

  • toDate: si tratta dell'ora assoluta, ad esempio 2014-07-15T16:24:51.000Z o '2014-07-12', 'yyyy-MM-dd'.

    Sintassi per toDate: toDate(<time>).

  • dateRelative: crea una data relativa alla data corrente, ad esempio 12h o 2d, day.

    Sintassi per dateRelative: dateRelative(<timespan>, <rounding interval>) in cui l'arrotondamento si basa sull'ora UTC.

  • dateadd: aggiunge le unità di tempo alla data specificata, ad esempio Day, 2 a toDate('2024-05-12', 'yyyy-MM-dd')

    Sintassi per dateadd: dateadd(<date>, <unit>, <amount>).

  • dateset: modifica una data in base alle unità di tempo. Ad esempio, toDate('2015-08-12', 'yyyy-MM-dd') è stato modificato con year, 2014, month, 7

    Sintassi per dateset: dateset(<date>, <unit>, <value> [, <unit>,<value>]).

I criteri orari possono essere espressi utilizzando gli operatori di confronto =, !=, <, <=, >, >= e l'operatore logico and.

Unità di tempo supportate

  • All Time

    Esempio JSON equivalente: "timeFilter": { "type" : "relative", "timeUnit" : "allTime" }

  • Secondo: s, sec, sec, secondo, secondi

  • Minuto: m, min, min, minuti, minuti

    Esempio: Last 60 minutes

    Esempio JSON equivalente: "timeFilter": { "type" : "relative", "duration" : "60", "timeUnit" : "minutes" }

  • Ora: h, hr, ore, ora, ore

  • Giorno: d, giorno, giorni

  • Settimana: w, settimana, settimane

  • Mese: lun, mese, mesi

  • Anno: y, yr, yrs, year, years

Un esempio di data assoluta in formato JSON è "timeFilter": { "type" : "absolute", "startTime" : "2015-04-26T08:00:00.000Z", "endTime" : "2015-04-27T08:00:00.000Z" }.

Esempi di intervallo di tempo nelle query

La query seguente cerca tutti gli elementi compresi tra 2 date assolute specificate in formato standard ISO: 

time between '2014-07-15T16:24:51.000Z' and '2014-07-17T18:14:16.000Z'

Vedere ISO 8601: DATA E TEMPO.

La seguente query cerca tutti gli elementi basati su 2 date assolute che non sono nel formato standard ISO: 

time between toDate('2014-07-12', 'yyyy-MM-dd') and toDate('2014-07-15', 'yyyy-MM-dd')

La seguente query cerca tutti gli elementi tranne le ultime 12 ore (* sul lato sinistro dell'espressione between rappresenta nuova data(0), * sulla destra è ora): 

time between * AND dateRelative(12h)

La seguente query cerca tutti gli elementi nelle ultime 12 ore: 

time > dateRelative(12h)

La seguente query cerca tutti gli elementi degli ultimi 30 minuti arrotondati per iniziare dall'inizio dell'ora: 

time > dateRelative(30min, hour)

La seguente query cerca i record con data precedente al 12 luglio 2014:

time < dateAdd(toDate('2014-07-22', 'yyyy-MM-dd'), day, -10)

La seguente query cerca i record con data successiva al 10 giugno 2010:

time > dateSet(toDate('2015-08-10', 'yyyy-MM-dd'), year, 2010, month, 6)

Scrivi query secondarie

Le subquery consentono alla query figlio di fornire un filtro dinamico alle relative query padre. Le subquery vengono valutate per prime e il risultato viene quindi utilizzato nella query padre.

  • È possibile nidificare le subquery l'una all'altra e una particolare query con più subquery allo stesso livello.
  • Per impostazione predefinita, le subquery ereditano l'intervallo di tempo globale, ma è possibile eseguirne l'override utilizzando la sintassi time between T1 and T2, se necessario.
  • Le subquery sono limitate a restituire solo le prime 2000 corrispondenze come input al relativo padre. Altri risultati vengono troncati.
  • Hanno un timeout massimo di 30 secondi da completare.
  • Tutti i campi restituiti da una subquery devono corrispondere ai campi della query padre per nome. Altrimenti, si verificherà un errore.
  • È possibile utilizzare le subquery solo all'interno di un comando di ricerca.
  • È possibile utilizzare tutti i comandi all'interno di una subquery, ad eccezione di cluster, clustersplit, clustercompare, fieldsummary, delete, classify, highlight e highlightrows.

Esempi:

  • Eseguire il grafico del traffico dalla lista di esclusione IP nel tempo:
    [searchlookup table=ip_blacklist | distinct ip | rename ip as 'host address'] | timestats count
  • Elenca i prodotti più acquistati per i primi utenti di un sito di e-commerce:
    'Log Source'='WLS Access Logs' status=200 action=purchase ['Log Source'='WLS Access Logs' status=200 action=purchase | stats count by 'Host (Client Address)' | top limit=1 'Host(Client Address)' | fields -*, 'Host (Client Address)'] | lookup table=products select 'product name' using productid | stats count, distinctcount(productId), unique('product name') by 'Host (Client Address)'
  • Trova i primi 4 ID processo del sistema operativo con la somma più alta: 
    [ *|stats sum('OS Process ID') as OSprocessidSum by 'OS Process ID' | top 4 OSprocessidSum | fields -OSprocessidSum ] | stats count by 'OS Process ID', 'Log Source', 'Host Name(Server)'
  • Visualizzare tutti i log della destinazione con i log di severità più irreversibili:
    * and [ Severity = fatal | stats count by Target | top limit = 1 Count | fields -Count]