bottom
Use o comando bottom para exibirn número de resultados (em que n é um número especificado) com o valor agregado mais baixo, conforme determinado pelo campo especificado. Esse comando deve ser precedido por um comando STATS ou CLUSTER. Quando você usa esse comando, os resultados do comando informado antes do caractere de barra vertical são classificados em ordem crescente, com base no campo e no número especificados ao executar a consulta.
Sintaxe
[stats|cluster] | bottom [limit=<limit>] <field_name>Parâmetros
A tabela a seguir lista os parâmetros usados nesse comando, com suas descrições.
| Parâmetro | Descrição |
|---|---|
|
|
Especifique o campo pelo qual deseja que os resultados sejam classificados. |
|
|
Especifique o número de entradas que deseja ver. Se nenhum valor for especificado, o valor padrão |
O comando a seguir retorna as 10 origens de log com o menor número de entradas de log.
* | stats count as cnt by Source
| bottom cntO comando a seguir retorna 20 destinos com o menor número de entradas de log fatais.
Severity = fatal
| stats count as cnt by 'Entity Type', Entity
| bottom limit = 20 cntO comando a seguir retorna 10 resumos com o menor número de registros de log semelhantes.
* | cluster
| bottom CountO seguinte comando retorna o menor número 2 de entradas de log para cada tipo de destino:
* | stats count as cnt by Target, 'Target Type'
| bottom limit = 2 cnt by 'Target Type'O comando a seguir retorna o 2 menor uso de largura de banda para cada IP de origem:
* | link 'Client Host City', 'Source IP'
| stats sum('Content Size Out') as 'Bandwidth Usage'
| bottom limit = 2 'Bandwidth Usage' by 'Source IP'