timecluster
Utilice este comando para agrupar los gráficos de serie de tiempo según su similitud.
Sintaxis
timecluster [<timecluster_options>] <stats_function> (<field_name>) [as new_field_name] [, <stats_function> (<field_name>) [as new_field_name]]* by <field_name> [, <field_name>]*Parámetros
En la siguiente tabla se muestran los parámetros utilizados con este comando, junto con sus descripciones.
| Parámetro | Descripción |
|---|---|
|
|
Utilice este parámetro para especificar cómo se deben incluir los datos en el cubo. Los valores permitidos para este parámetro deben seguir el formato |
|
|
Utilice este parámetro para definir el tamaño de cada cubo, utilizando una longitud de período basada en el tiempo. Los valores permitidos para este parámetro deben tener el formato Utilice el parámetro Sintaxis para
|
|
|
El campo debe tener un valor de registro de hora. Si no se especifica, se utiliza |
|
|
Reduzca el número de valores agregados que se devolverán para una función. |
|
|
Nombre que se mostrará para el gráfico. |
También puede utilizar las funciones asociadas al comando
stats con el comando timecluster. Para obtener detalles sobre las funciones y los ejemplos de uso de las funciones con el comando, consulte stats.
Para ver un ejemplo del uso de este comando en escenarios habituales, consulte:
La siguiente consulta agrupa el patrón de serie de tiempo por entidad.
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timecluster avg('Content Size') by EntityLa siguiente consulta agrupa los patrones de serie temporal por entidad solo para logs fatales.
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | addfields [ * | where Severity = fatal | timecluster avg('Content Size') by Entity ]