timecluster
Mit diesem Befehl können Sie die Zeitreihendiagramme nach ihrer Ähnlichkeit gruppieren.
Syntax
timecluster [<timecluster_options>] <stats_function> (<field_name>) [as new_field_name] [, <stats_function> (<field_name>) [as new_field_name]]* by <field_name> [, <field_name>]*Parameter
In der folgenden Tabelle sind die mit diesem Befehl verwendeten Parameter sowie deren Beschreibungen aufgeführt.
| Parameter | Beschreibung |
|---|---|
|
|
Mit diesem Parameter geben Sie an, wie die Daten in Buckets eingeteilt werden sollen. Zulässige Werte für diesen Parameter müssen dem Format |
|
|
Mit diesem Parameter können Sie die Größe jedes Buckets anhand einer Zeitspanne festlegen. Zulässige Werte für diesen Parameter müssen dem Format Mit dem Parameter Syntax für
|
|
|
Feld muss einen Zeitstempelwert aufweisen. Wenn nicht angegeben, wird |
|
|
Reduzieren Sie die Anzahl der aggregierten Werte, die für eine Funktion zurückgegeben werden sollen. |
|
|
Name für das Diagramm. |
Sie können die Funktionen, die mit dem Befehl
stats verknüpft sind, auch mit dem Befehl timecluster verwenden. Einzelheiten zu den Funktionen und Beispiele für die Verwendung der Funktionen mit dem Befehl finden Sie unter stats.
Beispiel für die Verwendung dieses Befehls in typischen Szenarios:
Die folgende Abfrage gruppiert das Zeitreihenmuster nach Entity.
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timecluster avg('Content Size') by EntityDie folgende Abfrage gruppiert die Zeitreihenmuster nur für Logs mit schwerwiegenden Fehlern nach Entity.
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | addfields [ * | where Severity = fatal | timecluster avg('Content Size') by Entity ]