メインコンテンツまでスキップ
Sumo Logic Japanese

filter operator

filter operator を使用すると、子クエリのフィルタリング条件に従って検索結果を絞り込むことができます。filter operator は、フィルタ基準に一致するレコードのみを保持するため、検索結果を絞り込み、最適な情報のみを得ることができます。

構文

"filter" <fieldname>+ in (<child_query>)
<child_query> ::= (non data-retrieval sumo query )
<fieldname> ::= (name of a field)

警告

  • filter operator は、aggregation operator の後に指定する必要があります。
  • すべてのフィールドは、子クエリの出力フィールドに存在する必要があります。
  • 子クエリでは、compare operator と filter operator はサポートされません。 
  • filter operator は where operator の代わりに使用できます。

制限事項

この operator はクエリ 1 つあたり最大 100,000 データ ポイントを処理できます。制限値を超えるデータ ポイントは自動的にドロップされ、警告が発生します。 

外れ値違反のあるすべてのホストの表示

_sourceCategory=HttpServers
| timeslice 1m
| count by _timeslice, _sourceHost
| filter _sourcehost in (outlier _count by _sourceHost | where _count_violation > 0)
| transpose row _timeslice column _sourcehost

メッセージが最も多い上位 2 件の Source Host の表示

_sourceCategory=HttpServers
| timeslice 1m
| count by _timeslice, _sourceHost
| filter _sourcehost in (sum(_count) by _sourceHost | top 2 _sourceHost by _sum )
| transpose row _timeslice column _sourcehost

外れ値違反が最も多い上位 3 件の Source Host の表示

_sourceCategory=HttpServers
| timeslice 1m
| count by _timeslice, _sourceHost
| filter _sourcehost in (outlier _count by _sourceHost | sum(_count_violation) by _sourcehost | top 3 _sourceHost by _sum )
| transpose row _timeslice column _sourcehost

 

  • この記事は役に立ちましたか?