first と last
first オペレータを使用して、クエリのソート順に基づいて、検索結果の最初の一致を検索します。last オペレータの場合は、最後の一致を検索します。
制限事項
first と last はライブ ダッシュボードや継続的なクエリではサポートされません。その場合は、withtime を使用します (「most_recent と least_recent」を参照)。
first
返されるメッセージのデフォルトのソート順は時間の降順です。最近のものから古い順です。このため、first では時間範囲内で評価するフィールドの最新値を検索します。ただし、時間の降順以外のソート順を指定した場合は、first はクエリで定義したソート順に基づいて最初のメッセージを検索します。
返される結果にソート順が指定されていない場合 (limit 20 を使用するなど)、 first は日付やリスト順に関係なく、最初のメッセージを返します。
構文
first(<field>) [as <field>]
ルール
_firstという名前のフィールドを作成します。
例
... | first(error_message) group by hostname
複数のフィールドの最初の一致を検索する場合は、as オペレータを使用してエイリアスを作成し、_first フィールドの名前を変更する必要があります。次の例を参照してください。
_sourceCategory=Apache/Access
| first(url) as first_url, first(status_code) as first_statuscode
last
時間範囲内で評価するフィールドの最後の値を、指定されたソート順に基づいて検索します。返されるメッセージのデフォルトの順序は時間の降順です。最近のものから古い順です。このため、last は返されたリスト内の最も古い結果です。時間の降順以外のソート順を指定した場合は、last はソート順に基づいて最後のメッセージを検索します。
構文
last(<field>) [as <field>]
ルール
_lastという名前のフィールドを作成します。
例
... | last(status_code) group by hostname
ログ メッセージ例:
Aug 2 04:06:08 : host=10.1.1.124: local/ssl2 notice mcpd[3772]: filesize=20454: diskutilization=0.4 : 01070638:5: Pool member 172.31.51.22:0 monitor status down.
ログ メッセージの例を使用したクエリ例:
disk*
| parse "diskutilization=*" as disk
| disk>0.8?1:0 as overcapacity
| last(overcapacity) by _sourceHost
| sort by _last
このクエリは用語 disk* を含むすべてのメッセージを検索して、diskutilization=value ペアをすべてパースします。次に diskutilization の値をフィールド disk に抽出します。次にその値が 80% を超えているかを判定して、ホストごとの最後の値を検索し、ディスク使用率が 80% を超えるホストのリストを効率的に生成します。
複数のフィールドの最後の一致を検索する場合は、as オペレータを使用してエイリアスを作成し、_last フィールドの名前を変更する必要があります。次の例を参照してください。
_sourceCategory=Apache/Access
| last(url) as last_url, last(status_code) as last_statuscode