limit

最後の更新
PDFとして保存

limit オペレータは返された未処理メッセージまたは集計結果の数を削減します。"error" など特定の単語について、group by などの集計オペレータを使用せずに、クエリを実行する場合、limit は返された未処理メッセージの数を削減します。最初に group-by またはその他の集計オペレータを使用すると、limit オペレータはグループ化された結果の数を削減します。

limit オペレータは、ダッシュボードのイベントのリストを作成し、たとえば「上位 10 件」のサービスオペレーション、システムオペレーション、エラーなど、いろいろなシステムアクティビティやユーザアクティビティを一目で見られるようにします。

Sumo Logic のアプリケーションの多くは、limit オペレータをクエリで使用することで、ダッシュボードのシステムデータをさまざまな用途で表示しています。

構文

limit #

ルール

limit オペレータは、最大 10,000 件の結果に対するリクエストをサポートします。「limit 10001」以上は使用できません。

例

上位 10 件のエラー。

この例では、集計オペレータを使用せずに単純に「error」という単語のみを検索し、返される未処理メッセージの数を 10 件に制限しています。

error * | limit 10

[Messages (メッセージ)] タブには、クエリを実行した時間範囲で見つかった最初の 10 件のエラーメッセージのみが表示されます。

ソースの上位 5 件のエラー。

このクエリでは、エラーを検索して _sourceCategory ごとにカウントし、カウントによって結果をソートして、さらに結果を上位 5 件のエラーに制限します。

error * | count by _sourceCategory | sort by _count | limit 5

次のような結果が返されます。

上位 10 件のサービスオペレーション:

このクエリでは、過去 10 時間に各ホストで開始および停止された上位 10 件の Windows サービスを検索します。

_sourceCategory=OS/Windows Service Control Manager | parse regex "Message = \"The (?<service>\w.+?) service entered the (?<state>\w+) state" | parse regex "ComputerName = \"(?<host>[^\"]+)\";" | if(state="running", 1, 0) as starts | if(state="stopped",1,0) as stops | sum(starts) as starts, sum(stops) as stops by service,host | sort by stops, starts | limit 10

結果が次のような横棒グラフとして表示されます。

Limit

詳細については sort オペレータを参照してください。