compare
Utilisez la commande compare pour comparer les propriétés générées par la commande link aux intervalles de comparaison spécifiés.
Syntaxe
compare [fields=<field> [,<field>]*] [timeshift = <offset> [size = <size>][count=<int>] | timerange <datetime> to <datetime> [as <new_field_name>], ...]Paramètres
Le tableau suivant répertorie les paramètres utilisés dans cette commande, ainsi que leur description.
| Paramètre | Description |
|---|---|
|
|
<direction><int><timescale> OR autoDéfinit l'intervalle de temps de comparaison comme un décalage de l'intervalle de temps courant.
|
size |
<int><timescale>Définit la taille de la durée de l'intervalle de temps de comparaison.
|
count |
<int>Indique le nombre d'intervalles de temps pour la comparaison. S'il n'est pas spécifié, la valeur par défaut est 1. |
|
|
Définit explicitement le début et la fin d'un intervalle de temps de comparaison. |
Pour obtenir des exemples d'utilisation de cette commande dans des scénarios types, voir :
La commande suivante compare la taille moyenne du contenu d'une entité d'il y a 7 jours et d'il y a 14 jours :
* | link Entity
| stats avg('Content Size') as 'Average Content Size'
| compare fields = 'Average Content Size' timeshift = -7d count = 2La commande suivante compare la taille moyenne du contenu d'une entité à partir d'une autre période :
* | link Entity
| stats avg('Content Size') as 'Average Content Size'
| compare fields = 'Average Content Size'
timerange = '2018-06-07T00:00:00Z' to '2018-06-14T00:00:00Z' as T1La commande suivante compare 2 intervalles de temps ayant la même taille de fenêtre que l'intervalle de temps courant, dans la direction négative. Par exemple, si l'intervalle de temps courant est de 60 dernières minutes, les intervalles timeshift sont de 60 à 120 dernières minutes et de 120 à 180 dernières minutes :
* | link span = 5minute 'Log Source'
| compare timeshift = auto count = 2