min と max
min と max 関数を使用して、一連の値の最小値と最大値を見つけます。
max
時間範囲内で評価する数値フィールドの最大値を抽出します。
構文
max(<numerical_field>) [as <field>] [by <field>]
ルール
_maxという名前のフィールドを作成します。
例
... | max(request_received) group by hour
... | max(request_received) as max_request_received, max(request_sent) as max_request_sent
複数のフィールドの最大値を計算する場合、as operator を使用してエイリアスを作成し、最大値のフィールドの名前を変更する必要があります。次の例を参照してください。
_sourceCategory="OS/Windows"
| kv "HandleCount", "ThreadCount"
| max(HandleCount) as maxHandleCount, max(ThreadCount) as maxThreadCount
min
時間範囲内で評価する数値フィールドの最小値を抽出します。
構文
min(numerical_field) [as <field>] [by <field>]
ルール
_minという名前のフィールドを作成します。
例
... | min(request_received) group by hour
... | min(request_received) as min_request_received, max(request_sent) as max_request_sent
複数のフィールドの最小値を計算する場合、as operator を使用してエイリアスを作成し、最小値のフィールドの名前を変更する必要があります。次の例を参照してください。
_sourceCategory="OS/Windows"
| kv "HandleCount", "ThreadCount"
| min(HandleCount) as minHandleCount, min(ThreadCount) as minThreadCount