most_recent と least_recent
most_recent および least_recent オペレータは、withtime オペレータとともに使用する集計オペレータであり、グループ内の最近または最も古い値を選択できます。
withtime オペレータにはフィールドを指定して、フィールドの値とタイムスタンプ (ミリ秒) を含む JSON オブジェクトを作成します。x_withtime フォーマットでフィールドを作成すると、検索結果の一部として表示されます。その後に most_recent および least_recent オペレータを使用して、x_withtime フィールドを参照し、データを並び替えます。
構文
status フィールドは次の構文式で使用して、任意のフィールドを表します。
| parse ... as status |withtimestatus | most_recent(status_withtime) by _sourcehost| parse ... as status |withtimestatus | least_recent(status_withtime) by _sourcehost
例
サイトの最近のビジターを IP ごとに検索します。
サイトにヒットするビジターを国別にモニタリングするとします。次のクエリはログ行のメッセージ時刻に基づいて、最新の IP アドレスを表示します。
*ip* OR *address*
| parse regex "(?<IP>\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"
| lookup latitude, longitude, country_code from geo://location on ip=IP
| where !isNull(country_code)
| withtime IP
| most_recent(ip_withtime) by country_code
結果は次のようになります。
