timestats
Mit diesem Befehl können Sie Daten zur Anzeige statistischer Trends im Zeitablauf generieren (optional nach Feld gruppiert).
Syntax
timestats [<timestats_options>] <stats_function / timestats_function> "("<field_name>")" [as new_field_name] [, <stats_function / timestats_function> "("<field_name>")" [as new_field_name]]* [by_<field_name>]Parameter
In der folgenden Tabelle sind die mit diesem Befehl verwendeten Parameter sowie deren Beschreibungen aufgeführt.
| Parameter | Beschreibung |
|---|---|
|
|
Mit diesem Parameter geben Sie an, wie die Daten in Buckets eingeteilt werden sollen. Zulässige Werte für diesen Parameter müssen dem Format |
|
|
Mit diesem Parameter können Sie die Größe jedes Buckets anhand einer Zeitspanne festlegen. Zulässige Werte für diesen Parameter müssen dem Format |
|
|
Mit diesem Parameter können Sie die Zeit für die Größe der Buckets angeben. Zulässige Werte für diesen Parameter: Syntax:
|
|
|
Feld muss einen Zeitstempelwert aufweisen. Wenn nicht angegeben, wird |
|
|
Reduzieren Sie die Anzahl der aggregierten Werte, die für eine Funktion zurückgegeben werden sollen. |
|
|
Geben Sie bei der Gruppierung nach Feldern die n Anzahl der eindeutigen Gruppen mit den größten aggregierten Werten zurück. |
|
|
Geben Sie bei der Gruppierung nach Feldern die n Anzahl der eindeutigen Gruppen mit den kleinsten aggregierten Werten zurück |
|
|
Name für das Diagramm. |
Sie können die Funktionen, die mit dem Befehl
stats verknüpft sind, auch mit dem Befehl timestats verwenden. Einzelheiten zu den Funktionen und Beispiele für die Verwendung der Funktionen mit dem Befehl finden Sie unter stats.
Funktionen
In der folgenden Tabelle sind die mit diesem Befehl verfügbaren Funktionen sowie die zugehörigen Beispiele aufgeführt.
| Funktion | Beispiele |
|---|---|
|
Verfolgt: Gibt einen Datenpunkt pro Span-Intervall zurück, der die durchschnittliche Rate pro Sekunde darstellt. |
|
|
perminute: Gibt einen Datenpunkt pro Span-Intervall zurück, der die durchschnittliche Rate pro Minute darstellt. |
|
|
perhour: Gibt einen Datenpunkt pro Span-Intervall zurück, der die durchschnittliche Rate pro Stunde darstellt. |
|
|
perday: Gibt einen Datenpunkt pro Span-Intervall zurück, der die durchschnittliche Rate pro Tag darstellt. |
|
Die folgende Abfrage gibt die Anzahl der schwerwiegenden Logeinträge über den angegebenen Zeitraum zurück.
Severity = fatal | timestats countDie folgende Abfrage gibt die Anzahl der Logs zurück, die in tägliche Chunks eingeteilt wurden.
* | timestats span = 1day countGibt die Anzahl der Logeinträge nach Ziel über den angegebenen Zeitraum für die Produktionsziele zurück:
'lifecycle status'='production' | search * | timestats count by targetZeitreihendiagramm nach Entity in Gruppeneigenschaft:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats avg('Content Size') by EntityZeitreihendiagramm nur für Logs mit schwerwiegenden Fehlern nach Entity:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | addfields [ * | where Severity = fatal | timestats avg('Content Size') by Entity ]Zeitreihendiagramm auf 20 Werte beschränken:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats maxvalues = 20 avg('Content Size')Zeitreihendiagramme für Top 3 Entitys zurückgeben:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats topcount = 3 avg('Content Size') by EntityGeben Sie die Zeitreihendiagramme für die unteren 3 Entitys zurück:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats bottomcount = 3 avg('Content Size') by Entity