メインコンテンツまでスキップ
Sumo Logic Japanese

topk

topk operator は、フィールドから上位値を選択し、フィールド別にグループ化します。topk operator は、top operator の代わりに使用でき、上位中の上位を選択する能力を追加することができます。

構文

  • topk(<#>, <top_fields>) [by <group_by_fields>]

# は、1 以上の正の整数です。

応答フィールド
  • _rank - 結果の順位です。

最も多くのエラーを生成している上位 5 件の Source ホストと特定のタイムスライスにおけるエラー数

error
| timeslice 1m
| count by _timeslice, _sourceHost
| topk(5, _count)

topk

特定のカテゴリにおける上位 2 件の結果

error
| timeslice 1m
| count by _timeslice, _sourceHost
| topk(2,_count) by _sourceHost

クエリを少し編集して、特定の時間範囲における各 sourceHost の最大エラー カウントを確認してみましょう。特定の operator に by 句を追加し、sourceHost を引数として渡します。これにより、各 Source ホストの上位「x」件を知りたいということをシステムに指示します。

Source ホストごとの topk カウント

上位 2 件の Source ホストと Source Category のペアを探します。

error
| timeslice 1m
| count by _timeslice, _sourceHost, _sourceCategory
| topk(2,_count) by _sourceHost, _sourceCategory

group by では複数の引数を指定できます。上のクエリでは、Source ホストと Source Category の各ペアで上位 2 件の結果を検索します。

topksource






 

  • この記事は役に立ちましたか?