frequent

frequentコマンドを使用して、フィールド・リスト内のすべてのフィールドの最も頻度の高い値のn件の結果を表示します。オプションで、追加フィールド別にグループ化できます。

構文

frequent [<frequent_options>] <field_name> [, <field_name>), ...] [as <new_field_name>] [by <field_name> [, <field_name>]*]

パラメータ

次の表に、このコマンドで使用されるパラメータとその説明を示します。

パラメータ 説明

field_name

頻度の高い値を決定する必要があるフィールドを指定します。

frequent_options

構文:

[limit = <limit>] [showcount = [true|false]] [showpercent = [true|false]]

limit: 返される数値結果を指定します。指定しない場合、デフォルト値は10です。値が-1の場合、すべての行が返されます。

showcount: 結果で頻度数を返す必要があるかどうかを指定します。指定されていない場合、デフォルト値はfalseです。

showpercent: 結果に頻度率を戻す必要があるかどうかを指定します。指定されていない場合、デフォルト値はfalseです。

次の問合せでは、重大度値が最も高い頻度である10エンティティが返されます:

linkコマンドを使用して:

* | link Entity
    | stats latest(Severity) as Severity
    | frequent Severity

linkコマンドを使用しない場合:

* | stats latest(Severity) as Severity by Entity
    | frequent Severity