- Splunk 教程
- Splunk - 主页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 源类型
- Splunk - 基本搜索
- Splunk - 现场搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 转换命令
- Splunk - 报告
- Splunk - 仪表板
- Splunk - 数据透视表和数据集
- Splunk - 查找
- Splunk - 时间表和警报
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 迷你图
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用程序
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 监控文件
- Splunk - 排序命令
- Splunk - 顶级命令
- Splunk - 统计命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用的资源
- Splunk - 讨论
Splunk - 顶级命令
很多时候,我们有兴趣找到某个领域中最常见的可用值。Splunk 中的top命令帮助我们实现了这一点。它还有助于查找事件中值出现的频率的计数和百分比。
字段的最高值
在最简单的形式中,我们只需获取计数以及该计数相对于事件总数的百分比。在下面的示例中,我们找到 8 个最重要的 ProductID 值。
各个字段的最高值
接下来,我们还可以包含另一个字段作为此 top 命令的 by 子句的一部分,以显示每组 field2 的 field1 的结果。在下面的搜索中,我们找到每个文件名的前 3 个产品 ID。请注意文件名如何重复 3 次,显示该文件的不同产品 ID。
显示选项
我们还可以通过 Top 命令使用 Splunk 中提供的其他选项来决定显示特定列。在下面的命令中,我们禁用显示百分比选项,并仅按文件名显示排名靠前的产品 ID。
