Splunk - Comando Superior

Muitas vezes, estamos interessados ​​em encontrar os valores mais comuns disponíveis em um campo. otopcomando no Splunk nos ajuda a conseguir isso. Além disso, ajuda a encontrar a contagem e porcentagem da frequência com que os valores ocorrem nos eventos.

Valores principais para um campo

Em sua forma mais simples, obtemos apenas a contagem e a porcentagem dessa contagem em comparação com o número total de eventos. No exemplo abaixo, encontramos os 8 principais valores de productid.

Valores principais para um campo por um campo

Em seguida, também podemos incluir outro campo como parte da cláusula by deste comando superior para exibir o resultado de field1 para cada conjunto de field2. Na pesquisa abaixo, encontramos os 3 principais productids para cada nome de arquivo. Observe como os nomes dos arquivos são repetidos 3 vezes, mostrando um productid diferente para aquele arquivo.

Mostrar opções

Também podemos decidir mostrar colunas específicas usando opções adicionais disponíveis no Splunk com o comando superior. No comando abaixo, desabilitamos a exibição da opção de porcentagem e exibimos apenas o ID do produto principal por nome de arquivo.