timestats
Utilice este comando para generar datos para mostrar tendencias estadísticas a lo largo del tiempo, agrupadas opcionalmente por campo.
Topics:
Sintaxis
timestats [<timestats_options>] <stats_function / timestats_function> "("<field_name>")" [as new_field_name] [, <stats_function / timestats_function> "("<field_name>")" [as new_field_name]]* [by_<field_name>]Parámetros
En la siguiente tabla se muestran los parámetros utilizados con este comando, junto con sus descripciones.
| Parámetro | Descripción |
|---|---|
|
|
Utilice este parámetro para especificar cómo se deben incluir los datos en el cubo. Los valores permitidos para este parámetro deben seguir el formato |
|
|
Utilice este parámetro para definir el tamaño de cada cubo, utilizando una longitud de período basada en el tiempo. Los valores permitidos para este parámetro deben tener el formato |
|
|
Utilice este parámetro para especificar el tiempo para ajustar el tamaño de los cubos. Los valores permitidos para este parámetro deben ser Sintaxis:
|
|
|
El campo debe tener un valor de registro de hora. Si no se especifica, se utiliza |
|
|
Reduzca el número de valores agregados que se devolverán para una función. |
|
|
Al agrupar por campos, se devuelve el recuento de n de grupos distintos con los valores agregados más grandes. |
|
|
Al agrupar por campos, devuelve n recuento de grupos distintos con los valores agregados más pequeños |
|
|
Nombre que se mostrará para el gráfico. |
También puede utilizar las funciones asociadas al comando
stats con el comando timestats. Para obtener detalles sobre las funciones y los ejemplos de uso de las funciones con el comando, consulte stats.
Funciones
En la siguiente tabla se muestran las funciones disponibles con este comando, junto con sus ejemplos.
| Función | Ejemplos |
|---|---|
|
persecond: devuelve un punto de datos por intervalo de tiempo que representa el ratio medio por segundo. |
|
|
perminute: devuelve un punto de datos por intervalo de tiempo que representa el ratio medio por minuto. |
|
|
perhour: devuelve un punto de datos por intervalo de tiempo que representa el ratio medio por hora. |
|
|
perday: devuelve un punto de datos por intervalo de tiempo que representa el ratio medio por día. |
|
La siguiente consulta devuelve el recuento de entradas de log fatales durante el rango de tiempo especificado.
Severity = fatal | timestats countCon la siguiente consulta se devuelve el recuento de logs agrupados en fragmentos diarios.
* | timestats span = 1day countDevolver el recuento de entradas de log, por destino, en el rango de tiempo especificado para los destinos de producción:
'lifecycle status'='production' | search * | timestats count by targetGráfico de series temporales por entidad en la propiedad de grupo:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats avg('Content Size') by EntityGráfico de series temporales por entidad solo para logs fatales:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | addfields [ * | where Severity = fatal | timestats avg('Content Size') by Entity ]Limite el gráfico de series temporales a 20 valores:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats maxvalues = 20 avg('Content Size')Devolver los gráficos de series temporales para las 3 entidades principales:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats topcount = 3 avg('Content Size') by EntityDevolver los gráficos de series temporales para las 3 entidades inferiores:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats bottomcount = 3 avg('Content Size') by Entity