timestats
Utilisez cette commande pour générer des données pour afficher les tendances statistiques dans le temps, éventuellement regroupées par champ.
Rubriques :
Syntaxe
timestats [<timestats_options>] <stats_function / timestats_function> "("<field_name>")" [as new_field_name] [, <stats_function / timestats_function> "("<field_name>")" [as new_field_name]]* [by_<field_name>]Paramètres
Le tableau suivant répertorie les paramètres utilisés avec cette commande, ainsi que leur description.
| Paramètre | Description |
|---|---|
|
|
Utilisez ce paramètre pour spécifier la manière dont les données doivent être regroupées. Les valeurs autorisées pour ce paramètre doivent respecter le format |
|
|
Utilisez ce paramètre pour définir la taille de chaque seau, en utilisant une longueur d'intervalle basée sur le temps. Les valeurs permises pour ce paramètre doivent respecter le format Les intervalles de temps maximum suivants s'appliquent aux valeurs spécifiques de
Dans le cas de l'exécution de la commande
Au-delà de ces intervalles de temps, |
|
|
Utilisez ce paramètre pour spécifier le temps de dimensionnement des seaux. Les valeurs permises pour ce paramètre doivent être Syntaxe :
|
|
|
Le champ doit avoir une valeur d'horodatage. Si |
|
|
Réduisez le nombre de valeurs agrégées à retourner pour une fonction. |
|
|
Lors du regroupement par champs, retourner n nombre de groupes distincts ayant les valeurs agrégées les plus élevées. |
|
|
Lors du regroupement par champs, retourner n nombre de groupes distincts avec les plus petites valeurs agrégées |
|
|
Nom à afficher pour le graphique. |
Vous pouvez utiliser les fonctions associées à la commande
stats avec la commande timestats également. Pour plus de détails sur les fonctions et les exemples d'utilisation des fonctions avec la commande, voir stats.
Fonctions
Le tableau suivant répertorie les fonctions disponibles avec cette commande, ainsi que des exemples.
| Fonction | Exemples |
|---|---|
|
persecond : Retourne un point de données par intervalle de temps représentant le taux moyen par seconde. |
|
|
perminute : Retourne un point de données par intervalle de temps représentant le taux moyen par minute. |
|
|
perhour : Retourne un point de données par intervalle de temps représentant le taux moyen par heure. |
|
|
perday : Retourne un point de données par intervalle de temps représentant le taux moyen par jour. |
|
L'interrogation suivante retourne le nombre d'entrées de journal avec une gravité fatale pour l'intervalle de temps spécifié.
Severity = fatal | timestats countL'interrogation suivante retourne le nombre de journaux regroupés en fragments quotidiens.
* | timestats span = 1day countRetourne le nombre d'entrées de journal, par cible sur l'intervalle de temps spécifié pour les cibles de production :
'lifecycle status'='production' | search * | timestats count by targetGraphique de séries chronologiques par entité sur la propriété de groupe :
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats avg('Content Size') by EntityGraphique de séries chronologiques par entité uniquement pour les journaux ayant une gravité fatale :
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | addfields [ * | where Severity = fatal | timestats avg('Content Size') by Entity ]Limitez le graphique de séries chronologiques à 20 valeurs :
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats maxvalues = 20 avg('Content Size')Retourne les graphiques de série chronologique pour les 3 principales entités :
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats topcount = 3 avg('Content Size') by EntityRetourne les graphiques de séries chronologiques pour les 3 dernières entités :
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats bottomcount = 3 avg('Content Size') by Entity