- Splunk 教程
- Splunk - 首页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 数据源类型
- Splunk - 基础搜索
- Splunk - 字段搜索
- Splunk - 时间范围搜索
- Splunk - 分享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 数据转换命令
- Splunk - 报表
- Splunk - 仪表盘
- Splunk - 数据透视和数据集
- Splunk - 查询表
- Splunk - 定时任务和告警
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基础图表
- Splunk - 叠加图表
- Splunk - 微型图表
- Splunk - 索引管理
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 文件监控
- Splunk - sort 命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用资源
- Splunk - 讨论
Splunk - top 命令
很多时候,我们都希望找到字段中最常见的数值。Splunk 中的 **top** 命令可以帮助我们实现这个目标。它还可以帮助我们找到这些数值在事件中出现的频率计数和百分比。
字段的Top数值
最简单的形式是,我们只需要获取计数以及与事件总数相比的计数百分比。在下面的例子中,我们找到了8个最常见的productid值。
按字段查找字段的Top数值
接下来,我们还可以将另一个字段作为top命令的by子句的一部分,以显示每个field2集的field1结果。在下面的搜索中,我们为每个文件名查找前3个productid。请注意文件名是如何重复3次,显示该文件的不同productid的。
显示选项
我们还可以使用Splunk中top命令提供的其他选项来决定显示哪些列。在下面的命令中,我们禁用显示百分比选项,只显示按文件名排列的前几个产品ID。
广告