timecluster
Verwenden Sie diesen Befehl, um die Zeitreihendiagramme basierend darauf zu gruppieren, wie ähnlich sie zueinander sind.
Syntax
timecluster [<timecluster_options>] <stats_function> (<field_name>) [as new_field_name] [, <stats_function> (<field_name>) [as new_field_name]]* by <field_name> [, <field_name>]*Parameter
In der folgenden Tabelle sind die mit diesem Befehl verwendeten Parameter sowie deren Beschreibungen aufgeführt.
| Parameter | Beschreibung |
|---|---|
|
|
Mit diesem Parameter geben Sie an, wie die Daten in Buckets eingeteilt werden sollen. Zulässige Werte für diesen Parameter müssen das Format |
|
|
Mit diesem Parameter können Sie die Größe jedes Buckets anhand einer Zeitspanne festlegen. Zulässige Werte für diesen Parameter müssen dem Format Mit dem Parameter Syntax für
|
|
|
Feld muss einen Zeitstempelwert haben. Wenn nicht angegeben, wird |
|
|
Reduzieren Sie die Anzahl der aggregierten Werte, die für eine Funktion zurückgegeben werden. |
|
|
Für das Diagramm anzuzeigender Name. |
Sie können die Funktionen, die mit dem Befehl (
stats) verknüpft sind, auch mit dem Befehl (timecluster) verwenden. Einzelheiten zu den Funktionen und Beispiele für die Verwendung der Funktionen mit dem Befehl finden Sie unter stats.
Beispiel für die Verwendung dieses Befehls in typischen Szenarios:
Die folgende Abfrage gruppiert das Zeitreihenmuster nach Entity.
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timecluster avg('Content Size') by EntityDie folgende Abfrage gruppiert die Zeitreihenmuster nach Entity nur für schwerwiegende Logs.
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | addfields [ * | where Severity = fatal | timecluster avg('Content Size') by Entity ]