statsコマンドで計算した結果の上位何件だけを表示させる方法について

70250939 · ‎03-12-2015

indexに"count"というフィールドがあり、"user"ごとに"count"を合計を出し、数が多い順に表示させています。

|stats sum(count) by user
|sort　-　sum(count)

数が少ないひとは除外したいため、数が多い上位10名だけ表示させたいとした場合、どのようなコマンドを使えばよろしいでしょうか？
topコマンドなど使用してみたりしたのですが結果が変わってしまったり、うまく表示されなかったりしています。

いい方法ご存知の方アドバイスよろしくお願いいたします。

vasanthmss · ‎03-12-2015

English Version of question:

index to have a field called "count", for each "user" and issued a total of "count", you have to appear in the order number is large.

| stats sum (count) by user
| sort - sum (count)

For human small number you want to exclude, if you want to display only a large number top ten, Are you sure you want if you use any kind of command?
top and I was or try to use such as a command or have changed but a result, we have may not be displayed well.

Better advice thank you for a good way you know.

V

vasanthmss · ‎03-12-2015

try this,

|stats sum(count) as total by user | sort - total | head 10

Cheers!

V

70250939 · ‎03-14-2015

出来ました！ありがとうございました。

vasanthmss · ‎03-17-2015

hope this helps you.

V

statsコマンドで計算した結果の上位何件だけを表示させる方法について

.conf25 Community Recap

Splunk App Developers | .conf25 Recap & What’s Next

Congratulations to the 2025-2026 SplunkTrust!

Are you a member of the Splunk Community?

statsコマンドで計算した結果の上位何件だけを表示させる方法について

.conf25 Community Recap

Splunk App Developers | .conf25 Recap & What’s Next

Congratulations to the 2025-2026 SplunkTrust!