LogReduce での Group-By の使用
LogReduce オペレータは集計オペレータとして機能し、_timeslice によるグループ化や、_sourcehost などの他のディメンションによるグループ化をサポートします。
LogReduce オペレータは集計オペレータとして機能し、_timeslice によるグループ化や、次のような他のディメンションによるグループ化をサポートします。
_sourcehost.
たとえば、timeslice を含めることで、シグネチャのカウントが一定期間にわたってどのように変化するかを判断できます。
構文
…. | timeslice 1m | logreduce by _timeslice
…. | logreduce by _sourcehost
省略可能パラメータ
limit: 返されるシグネチャの数を制限します。検索クエリに含まれるシグネチャの合計数は非常に多くなることがあり、その場合、最終結果を取得して理解することは容易ではありません。このパラメータを使用することで、返されるシグネチャの数を制限できます。criteria: デフォルトでは、最も特異なシグネチャの検出が試行されます。このパラメータを使用することで、デフォルトの基準をオーバーライドできます。mostcommon: 最も頻繁に出現するシグネチャで、最もカウント数が多いものです。leastcommon: 最も出現頻度の少ないシグネチャで、最もカウント数が少ないものです。
クエリの例
_sourceCategory=MyApp | timeslice 1m | logreduce by _timeslice limit=5,criteria=mostcommon | transpose row _timeslice column signature
_sourceCategory=MyApp | logreduce by _sourceHost limit=5,criteria=mostcommon | transpose row _sourcehost column signature