Splunk - Lệnh hàng đầu
Nhiều khi chúng ta quan tâm đến việc tìm kiếm các giá trị chung nhất có sẵn trong một trường. Cáctoplệnh trong Splunk giúp chúng tôi đạt được điều này. Nó giúp ích hơn nữa trong việc tìm số lượng và phần trăm tần suất xuất hiện của các giá trị trong các sự kiện.
Giá trị hàng đầu cho một trường
Ở dạng đơn giản nhất, chúng ta chỉ lấy số lượng và tỷ lệ phần trăm của số lượng đó so với tổng số sự kiện. Trong ví dụ dưới đây, chúng tôi tìm thấy 8 giá trị sản xuất hàng đầu.
Giá trị hàng đầu cho một trường theo một trường
Tiếp theo, chúng ta cũng có thể bao gồm một trường khác như một phần của mệnh đề by của lệnh hàng đầu này để hiển thị kết quả của trường1 cho mỗi tập trường2. Trong tìm kiếm bên dưới, chúng tôi tìm thấy 3 sản phẩm hàng đầu cho mỗi tên tệp. Lưu ý cách các tên tệp được lặp lại 3 lần cho thấy các sản phẩm khác nhau cho tệp đó.
Hiển thị các tùy chọn
Chúng tôi cũng có thể quyết định hiển thị các cột cụ thể bằng cách sử dụng các tùy chọn bổ sung có sẵn trong Splunk với Top Command. Trong lệnh dưới đây, chúng tôi vô hiệu hóa để hiển thị tùy chọn phần trăm và chỉ hiển thị ID sản phẩm hàng đầu theo tên tệp.