limit
limit operator は返された未処理メッセージまたは集計結果の数を削減します。"error" など特定の単語について、group by などの aggregation operator を使用せずに、クエリを実行する場合、limit は返された未処理メッセージの数を削減します。最初に group-by またはその他の aggregation operator を使用すると、limit operator はグループ化された結果の数を削減します。
limit operator は、ダッシュボードのイベントのリストを作成し、たとえば「上位 10 件」のサービス オペレーション、システム オペレーション、エラーなど、いろいろなシステム アクティビティやユーザ アクティビティを一目で見られるようにします。
Sumo Logic のアプリケーションの多くは、limit operator をクエリで使用することで、ダッシュボードのシステム データをさまざまな用途で表示しています。
構文
limit #
ルール
- limit operator は、最大 10,000 件の結果に対するリクエストをサポートします。「limit 10001」以上は使用できません。
例
上位 10 件のエラー。
この例では、aggregation operator を使用せずに単純に「error」という単語のみを検索し、返される未処理メッセージの数を 10 件に制限しています。
error *
| limit 10
[Messages (メッセージ)] タブには、クエリを実行した時間範囲で見つかった最初の 10 件のエラー メッセージのみが表示されます。
Source の上位 5 件のエラー。
このクエリでは、エラーを検索して _sourceCategory ごとにカウントし、カウントによって結果をソートして、さらに結果を上位 5 件のエラーに制限します。
error *
| count by _sourceCategory
| sort by _count | limit 5
次のような結果が返されます。
上位 10 件のサービス オペレーション:
このクエリでは、過去 10 時間に各ホストで開始および停止された上位 10 件の Windows サービスを検索します。
_sourceCategory=OS/Windows Service Control Manager
| parse regex "Message = \"The (?<service>\w.+?) service entered the (?<state>\w+) state"
| parse regex "ComputerName = \"(?<host>[^\"]+)\";"
| if(state="running", 1, 0) as starts
| if(state="stopped",1,0) as stops
| sum(starts) as starts, sum(stops) as stops by service,host
| sort by stops, starts
| limit 10
結果が次のような横棒グラフとして表示されます。
詳細については sort operator を参照してください。