Splunk top命令

 

很多时候,我们有兴趣找到字段中最常见的可用值。 Splunk 中的 top 命令可帮助我们实现这一目标。它还有助于找到值在事件中出现的频率的计数和百分比。

 

字段的最高值

在最简单的形式中,我们只获得计数以及此类计数与事件总数的百分比。在下面的示例中,我们找到了 8 个最高的 productid 值。

Top1

 

一个字段的最高值

接下来,我们还可以包含另一个字段作为此 top 命令的 by 子句的一部分,以显示每组 field2 的 field1 的结果。在下面的搜索中,我们找到了每个文件名的前 3 个 productid。请注意文件名如何重复 3 次,显示该文件的不同 productid。

Top2

 

显示选项

我们还可以决定使用 Splunk 中可用的附加选项和顶部命令来显示特定列。在下面的命令中,我们禁用了显示百分比选项并仅按文件名显示顶部产品 ID。

Top3

 stats 命令用于计算搜索结果或从索引中检索到的事件的汇总统计信息。 stats 命令将搜索结果作为一个整体进行处理,并仅返回您指定的字段。每次调用 stats 命令时,您都可以使用一个或多个函数。但是 ...