Splunk-トップコマンド

多くの場合、フィールドで利用可能な最も一般的な値を見つけることに興味があります。 Splunkの top コマンドは、これを達成するのに役立ちます。 さらに、イベントで値が発生する頻度の数と割合を見つけるのに役立ちます。

フィールドの最高値

最も単純な形式では、イベントの総数と比較したカウントとそのカウントのパーセンテージを取得するだけです。 以下の例では、上位8つのproductid値が見つかります。

Top1

フィールドごとのフィールドの上位値

次に、このtopコマンドのby句の一部として別のフィールドを含めて、field2の各セットのfield1の結果を表示することもできます。 以下の検索では、各ファイル名の上位3つのプロダクトIDを見つけます。 ファイル名が3回繰り返され、そのファイルの異なるproductidが表示されることに注意してください。

Top2

オプションを表示

SplunkでTop Commandを使用して追加のオプションを使用することにより、特定の列を表示することもできます。 以下のコマンドでは、パーセンテージオプションを表示することを無効にし、ファイル名で上位の製品IDのみを表示します。

Top3