Splunk-トップコマンド

多くの場合、フィールドで利用可能な最も一般的な値を見つけることに関心があります。ザ・topSplunkのコマンドは、これを実現するのに役立ちます。さらに、イベントで値が発生する頻度のカウントとパーセンテージを見つけるのに役立ちます。

フィールドの上位値

最も単純な形式では、イベントの総数と比較したカウントとそのカウントのパーセンテージを取得するだけです。以下の例では、上位8つのproductid値が見つかります。

フィールドごとのフィールドの上位値

次に、このトップコマンドのby句の一部として別のフィールドを含めて、field2の各セットのfield1の結果を表示することもできます。以下の検索では、各ファイル名の上位3つの製品IDが見つかります。ファイル名が3回繰り返され、そのファイルの異なる製品IDが表示されていることに注意してください。

オプションを表示

トップコマンドでSplunkで利用可能な追加オプションを使用して、特定の列を表示することもできます。以下のコマンドでは、パーセンテージオプションを表示せず、ファイル名で上位の製品IDのみを表示します。