Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
limit
Verwenden Sie limit, um die Anzahl der Protokollereignisse anzugeben, die Ihre Abfrage zurückgeben soll. Wenn Sie es weglassenlimit, gibt die Abfrage standardmäßig bis zu 10.000 Protokollereignisse zurück. Sie können einen limit Wert von bis zu 100.000 angeben.
Das folgende Beispiel gibt beispielsweise nur die letzten 25 Protokollereignisse zurück:
fields @timestamp, @message | sort @timestamp desc | limit 25
beliebig begrenzen
Wird verwendetlimit any , um die Abfrage zu beenden, sobald NN passende Protokollereignisse gefunden werden, ohne dass die verbleibenden Daten gescannt werden. Dadurch kann die Menge der gescannten Daten erheblich reduziert und Abfragen beschleunigt werden, wenn Sie nur eine Stichprobe übereinstimmender Ereignisse und nicht eine bestimmte Reihenfolge benötigen.
Bei einer regulären limit Abfrage werden alle Daten im Zeitbereich gescannt und anschließend die besten N Ergebnisse zurückgegeben. Bei dieser limit any Option wird die Abfrage frühzeitig abgeschlossen, sobald genügend Ergebnisse gefunden wurden. Das bedeutet, dass die zurückgegebenen Ereignisse aus einem beliebigen Teil des Zeitbereichs stammen können.
Die folgende Abfrage gibt beispielsweise ein Protokollereignis zurück und beendet den Scanvorgang, sobald eine Übereinstimmung gefunden wird:
fields @message | limit any 1
Anmerkung
Da der Scanvorgang vorzeitig limit any beendet wird, kann nicht garantiert werden, dass die Ergebnisse in einer bestimmten Reihenfolge vorliegen. Wenn Sie geordnete Ergebnisse benötigen, verwenden Sie die limit Option ohne any zusammen mitsort.