timestats
Mit diesem Befehl können Sie Daten zur Anzeige statistischer Trends im Zeitablauf generieren (optional nach Feld gruppiert).
Themen:
Syntax
timestats [<timestats_options>] <stats_function / timestats_function> "("<field_name>")" [as new_field_name] [, <stats_function / timestats_function> "("<field_name>")" [as new_field_name]]* [by_<field_name>]Parameter
In der folgenden Tabelle sind die mit diesem Befehl verwendeten Parameter sowie deren Beschreibungen aufgeführt.
| Parameter | Beschreibung |
|---|---|
|
|
Mit diesem Parameter geben Sie an, wie die Daten in Buckets eingeteilt werden sollen. Zulässige Werte für diesen Parameter müssen das Format |
|
|
Mit diesem Parameter können Sie die Größe jedes Buckets anhand einer Zeitspanne festlegen. Zulässige Werte für diesen Parameter müssen dem Format Die folgenden maximalen Zeitbereiche gelten für bestimmte Werte von
Wenn der Befehl
Über diese Zeiträume hinaus wird |
|
|
Mit diesem Parameter können Sie die Zeit für die Größe der Buckets angeben. Zulässige Werte für diesen Parameter: Syntax:
|
|
|
Feld muss einen Zeitstempelwert haben. Wenn nicht angegeben, wird |
|
|
Reduzieren Sie die Anzahl der aggregierten Werte, die für eine Funktion zurückgegeben werden. |
|
|
Geben Sie bei der Gruppierung nach Feldern die n Anzahl der eindeutigen Gruppen mit den größten aggregierten Werten zurück. |
|
|
Geben Sie bei der Gruppierung nach Feldern die n Anzahl der eindeutigen Gruppen mit den kleinsten aggregierten Werten zurück |
|
|
Für das Diagramm anzuzeigender Name. |
Sie können die Funktionen, die mit dem Befehl
stats verknüpft sind, auch mit dem Befehl timestats verwenden. Einzelheiten zu den Funktionen und Beispiele für die Verwendung der Funktionen mit dem Befehl finden Sie unter stats.
Funktionen
In der folgenden Tabelle sind die mit diesem Befehl verfügbaren Funktionen sowie die zugehörigen Beispiele aufgeführt.
| Funktion | Beispiele |
|---|---|
|
Verfolgt: Gibt einen Datenpunkt pro Span-Intervall zurück, der die durchschnittliche Rate pro Sekunde darstellt. |
|
|
perminute: Gibt einen Datenpunkt pro Span-Intervall zurück, der die durchschnittliche Rate pro Minute darstellt. |
|
|
perhour: Gibt einen Datenpunkt pro Span-Intervall zurück, der die durchschnittliche Rate pro Stunde darstellt. |
|
|
perday: Gibt einen Datenpunkt pro Span-Intervall zurück, der die durchschnittliche Rate pro Tag darstellt. |
|
Die folgende Abfrage gibt die Anzahl der schwerwiegenden Logeinträge über den angegebenen Zeitraum zurück.
Severity = fatal | timestats countDie folgende Abfrage gibt die Anzahl der Logs zurück, die in tägliche Chunks eingeteilt wurden.
* | timestats span = 1day countGibt die Anzahl der Logeinträge nach Ziel über den angegebenen Zeitraum für die Produktionsziele zurück:
'lifecycle status'='production' | search * | timestats count by targetZeitreihendiagramm nach Entity in Gruppeneigenschaft:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats avg('Content Size') by EntityZeitreihendiagramm nach Entity nur für schwerwiegende Logs:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | addfields [ * | where Severity = fatal | timestats avg('Content Size') by Entity ]Zeitreihendiagramm auf 20 Werte beschränken:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats maxvalues = 20 avg('Content Size')Geben Sie die Zeitreihendiagramme für die Top 3 Entitys zurück:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats topcount = 3 avg('Content Size') by EntityGeben Sie die Zeitreihendiagramme für die unteren 3 Entitys zurück:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats bottomcount = 3 avg('Content Size') by Entity