top
このコマンドを使用して、指定したフィールド値が最も多く出現するか、指定したフィールドによって決定される最大の集計値を含む指定した数の結果を、指定の数のみ表示します。フィールドが集計値を表す必要がある場合、このコマンドの前にstatsまたはclusterコマンドを指定する必要があります。パイプ文字の左側にあるコマンドの結果が、指定したフィールドに基づいて降順でソートされ、リクエストした数の結果が表示されます。
構文
top [<top_options>] <field_name> [by <field_name> [, <field_name>]*]パラメータ
次の表に、このコマンドで使用されるパラメータとその説明を示します。
| パラメータ | 説明 |
|---|---|
field_name |
このパラメータを使用して、最大の集計値を決定する際の基準にするフィールドを指定します。 |
top_options |
構文:
|
次の問合せは、最も頻度の高い10個のログ・ソースを返します。
*| top 'log source'次の問合せは、ログ・エントリの数が最も多い10個のログ・ソースを返します。
* | stats count as cnt by 'Log Source'
| top cnt次の問合せは、致命的なログ・エントリの数が最も多い5個のホスト・エントリを返します。
'Entity Type' = Host and Severity = fatal
| stats count as cnt by Entity, 'Entity Type'
| top limit = 5 cnt次の問合せは、類似したログ・レコードの数が最も多い10個のサマリーを返します。
* | cluster | top Count次の問合せは、ターゲット・タイプごとに2つのログ・エントリの最大数を返します。
* | stats count as cnt by Target, 'Target Type'
| top limit = 2 cnt by 'Target Type'次の問合せは、各ソースIPの最大帯域幅使用量を2つ返します。
* | link 'Client Host City', 'Source IP'
| stats sum('Content Size Out') as 'Bandwidth Usage'
| top limit = 2 'Bandwidth Usage' by 'Source IP'