Splunk - Top 命令

很多时候，我们想要找到字段中最常见的值。Splunk 中的 top 命令可帮助我们实现此目标。它还有助于查找事件中值出现频率的计数和百分比。

字段的 Top 值

在最简单的形式中，我们仅获取计数以及此类计数与事件总数的百分比。在下面的示例中，我们找到了 8 个最热门的 productid 值。

按字段查找字段的 Top 值

接下来，我们还可以将另一个字段作为此 top 命令的 by 子句的一部分，以显示每组 field2 的 field1 的结果。在下面的搜索中，我们为每个文件名找到前 3 个产品 ID。请注意文件名重复了 3 次，显示该文件的不同产品 ID。

显示选项

我们还可以使用 Splunk 中 Top 命令提供的附加选项来决定显示特定列。在下面的命令中，我们禁用显示百分比选项，仅按文件名显示前 3 个产品 ID。