top
Use esse comando para exibir o número especificado de valores de campo com a maioria das ocorrências ou o número especificado de resultados com o maior valor agregado, conforme determinado pelo campo específico. Se o campo tiver que representar um valor agregado, esse comando deverá ser precedido por um comando stats ou cluster. Os resultados do comando à esquerda do caractere de barra vertical são classificados em ordem decrescente, com base no campo especificado, e o número solicitado de resultados é exibido.
Sintaxe
top [<top_options>] <field_name> [by <field_name> [, <field_name>]*]Parâmetros
A tabela a seguir lista os parâmetros usados com esse comando, com suas descrições.
| Parâmetro | Descrição |
|---|---|
field_name |
Use esse parâmetro para especificar o campo de acordo com o qual os valores agregados mais altos são determinados. |
top_options |
Sintaxe:
|
A consulta a seguir retorna as 10 origens de log mais frequentes.
*| top 'log source'A consulta a seguir retorna as 10 origens de log com o maior número de entradas de log.
* | stats count as cnt by 'Log Source'
| top cntA consulta a seguir retorna as 5 entidades de host com a maioria das entradas de log fatais.
'Entity Type' = Host and Severity = fatal
| stats count as cnt by Entity, 'Entity Type'
| top limit = 5 cntA consulta a seguir retorna os 10 resumos com o maior número de registros de log semelhantes.
* | cluster | top CountA consulta a seguir retorna o número 2 mais alto de entradas de log para cada tipo de destino:
* | stats count as cnt by Target, 'Target Type'
| top limit = 2 cnt by 'Target Type'A consulta a seguir retorna o 2 maior uso de largura de banda para cada IP de origem:
* | link 'Client Host City', 'Source IP'
| stats sum('Content Size Out') as 'Bandwidth Usage'
| top limit = 2 'Bandwidth Usage' by 'Source IP'