compare
Utilice el comando compare para comparar las propiedades generadas por el comando link en los intervalos de comparación especificados.
Sintaxis
compare [fields=<field> [,<field>]*] [timeshift = <offset> [size = <size>][count=<int>] | timerange <datetime> to <datetime> [as <new_field_name>], ...]Parámetros
En la siguiente tabla se muestran los parámetros utilizados en este comando, junto con sus descripciones.
| Parámetro | Descripción |
|---|---|
|
|
<direction><int><timescale> OR autoDefine el rango de tiempo de comparación como un desplazamiento del rango de tiempo actual.
|
size |
<int><timescale>Define el tamaño de la duración del rango de tiempo de comparación.
|
count |
<int>Especifica el número de rangos de tiempo para la comparación. Si no se especifica, el valor por defecto es 1. |
|
|
Define explícitamente el inicio y el fin de un rango de tiempo de comparación. |
Para ver un ejemplo del uso de este comando en escenarios habituales, consulte:
Con el siguiente comando se compara el tamaño medio de contenido de una entidad desde hace 7 días y desde hace 14 días:
* | link Entity
| stats avg('Content Size') as 'Average Content Size'
| compare fields = 'Average Content Size' timeshift = -7d count = 2Con el siguiente comando se compara el tamaño medio de contenido de una entidad desde otro período de tiempo:
* | link Entity
| stats avg('Content Size') as 'Average Content Size'
| compare fields = 'Average Content Size'
timerange = '2018-06-07T00:00:00Z' to '2018-06-14T00:00:00Z' as T1El siguiente comando compara 2 intervalos de tiempo que tienen el mismo tamaño de ventana que el intervalo de tiempo actual, en la dirección negativa. Por ejemplo, si el rango de tiempo actual es Últimos 60 minutos, los rangos de timeshift son los últimos 60 a 120 minutos y los últimos 120 a 180 minutos:
* | link span = 5minute 'Log Source'
| compare timeshift = auto count = 2