Много раз мы заинтересованы в поиске наиболее распространенных значений, доступных в поле. Верхняя команда в Splunk помогает нам достичь этого. Это также помогает найти количество и процентную частоту, с которой значения встречаются в событиях.
Лучшие значения для поля
В простейшей форме мы просто получаем количество и процент такого количества по сравнению с общим числом событий. В приведенном ниже примере мы находим 8 самых популярных значений продукта.
Лучшие значения для поля по полю
Далее, мы можем также включить другое поле как часть предложения by этой верхней команды, чтобы отобразить результат field1 для каждого набора field2. В приведенном ниже поиске мы находим три лучших продукта для каждого имени файла. Обратите внимание, как имена файлов повторяются 3 раза, показывая разные продукты для этого файла.
Показать параметры
Мы также можем решить отображать определенные столбцы, используя дополнительные параметры, доступные в Splunk с командой Top. В приведенной ниже команде мы отключаем показ опции процента и отображаем только верхний идентификатор продукта по имени файла.