メインコンテンツまでスキップ
Sumo Logic Japanese

limit

limit オペレータは返された未処理メッセージまたは集計結果の数を削減します。"error" など特定の単語について、group by などの集計オペレータを使用せずに、クエリを実行する場合、limit は返された未処理メッセージの数を削減します。最初に group-by またはその他の集計オペレータを使用すると、limit オペレータはグループ化された結果の数を削減します。

limit オペレータは、ダッシュボードのイベントのリストを作成し、たとえば「上位 10 件」のサービス オペレーション、システム オペレーション、エラーなど、いろいろなシステム アクティビティやユーザ アクティビティを一目で見られるようにします。

Sumo Logic のアプリケーションの多くは、limit オペレータをクエリで使用することで、ダッシュボードのシステム データをさまざまな用途で表示しています。

構文

  • limit #

ルール

  • limit オペレータは、最大 10,000 件の結果に対するリクエストをサポートします。「limit 10001」以上は使用できません。

上位 10 件のエラー。

この例では、集計オペレータを使用せずに単純に「error」という単語のみを検索し、返される未処理メッセージの数を 10 件に制限しています。

error * 
| limit 10

[Messages (メッセージ)] タブには、クエリを実行した時間範囲で見つかった最初の 10 件のエラー メッセージのみが表示されます。

ソースの上位 5 件のエラー。

このクエリでは、エラーを検索して _sourceCategory ごとにカウントし、カウントによって結果をソートして、さらに結果を上位 5 件のエラーに制限します。

error *
| count by _sourceCategory
| sort by _count | limit 5

次のような結果が返されます。

上位 10 件のサービス オペレーション:

このクエリでは、過去 10 時間に各ホストで開始および停止された上位 10 件の Windows サービスを検索します。

_sourceCategory=OS/Windows Service Control Manager
| parse regex "Message = \"The (?<service>\w.+?) service entered the (?<state>\w+) state"
| parse regex "ComputerName = \"(?<host>[^\"]+)\";"
| if(state="running", 1, 0) as starts
| if(state="stopped",1,0) as stops
| sum(starts) as starts, sum(stops) as stops by service,host
| sort by stops, starts
| limit 10

結果が次のような横棒グラフとして表示されます。

Limit

詳細については sort オペレータを参照してください。

  • この記事は役に立ちましたか?