timestats
Utilice este comando para generar datos para mostrar tendencias estadísticas a lo largo del tiempo, agrupadas opcionalmente por campo.
Temas:
Sintaxis
timestats [<timestats_options>] <stats_function / timestats_function> "("<field_name>")" [as new_field_name] [, <stats_function / timestats_function> "("<field_name>")" [as new_field_name]]* [by_<field_name>]Parámetros
En la siguiente tabla se muestran los parámetros utilizados con este comando, junto con sus descripciones.
| Parámetro | Descripción |
|---|---|
|
|
Utilice este parámetro para especificar cómo se deben incluir los datos en el cubo. Los valores permitidos para este parámetro deben seguir el formato |
|
|
Utilice este parámetro para definir el tamaño de cada cubo, utilizando una longitud de período basada en el tiempo. Los valores permitidos para este parámetro deben tener el formato Los siguientes rangos de tiempo máximo se aplican a valores específicos de
En caso de que el comando
Más allá de estos rangos de tiempo, |
|
|
Utilice este parámetro para especificar el tiempo para ajustar el tamaño de los cubos. Los valores permitidos para este parámetro deben ser Sintaxis:
|
|
|
El campo debe tener un valor de registro de hora. Si no se especifica, se utiliza |
|
|
Reduzca el número de valores agregados que se devolverán para una función. |
|
|
Al agrupar por campos, devuelve el recuento de n de grupos distintos con los valores agregados más grandes. |
|
|
Al agrupar por campos, devuelve el recuento de n grupos distintos con los valores agregados más pequeños |
|
|
Nombre que se mostrará para el gráfico. |
También puede utilizar las funciones asociadas al comando
stats con el comando timestats. Para obtener detalles sobre las funciones y los ejemplos de uso de las funciones con el comando, consulte stats.
Funciones
En la siguiente tabla se muestran las funciones disponibles con este comando, junto con sus ejemplos.
| Función | Ejemplos |
|---|---|
|
persecond: devuelve un punto de datos por intervalo de tiempo que representa el ratio medio por segundo. |
|
|
perminute: devuelve un punto de datos por intervalo de tiempo que representa el ratio medio por minuto. |
|
|
perhour: devuelve un punto de datos por intervalo de tiempo que representa el ratio medio por hora. |
|
|
perday: devuelve un punto de datos por intervalo de tiempo que representa el ratio medio por día. |
|
La siguiente consulta devuelve el recuento de entradas de log fatales durante el rango de tiempo especificado.
Severity = fatal | timestats countCon la siguiente consulta se devuelve el recuento de logs agrupados en fragmentos diarios.
* | timestats span = 1day countDevuelve el recuento de entradas de log, por destino en el rango de tiempo especificado para los destinos de producción:
'lifecycle status'='production' | search * | timestats count by targetGráfico de series temporales por entidad en la propiedad de grupo:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats avg('Content Size') by EntityGráfico de series temporales por entidad solo para logs fatales:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | addfields [ * | where Severity = fatal | timestats avg('Content Size') by Entity ]Limite el gráfico de series temporales a 20 valores:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats maxvalues = 20 avg('Content Size')Devolver los gráficos de series temporales para las 3 entidades principales:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats topcount = 3 avg('Content Size') by EntityDevolver los gráficos de series temporales para las 3 entidades inferiores:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats bottomcount = 3 avg('Content Size') by Entity