timecluster
Utilisez cette commande pour regrouper les graphiques de séries chronologiques en fonction de leur similarité.
Syntaxe
timecluster [<timecluster_options>] <stats_function> (<field_name>) [as new_field_name] [, <stats_function> (<field_name>) [as new_field_name]]* by <field_name> [, <field_name>]*Paramètres
Le tableau suivant répertorie les paramètres utilisés avec cette commande, ainsi que leur description.
| Paramètre | Description |
|---|---|
|
|
Utilisez ce paramètre pour spécifier la manière dont les données doivent être regroupées. Les valeurs autorisées pour ce paramètre doivent respecter le format |
|
|
Utilisez ce paramètre pour définir la taille de chaque seau, en utilisant une longueur d'intervalle basée sur le temps. Les valeurs permises pour ce paramètre doivent respecter le format Utilisez le paramètre Syntaxe pour
|
|
|
Le champ doit avoir une valeur d'horodatage. Si elle n'est pas spécifiée, |
|
|
Réduisez le nombre de valeurs agrégées à renvoyer pour une fonction. |
|
|
Nom à afficher pour le graphique. |
Vous pouvez utiliser les fonctions associées à la commande
stats avec la commande timecluster également. Pour plus de détails sur les fonctions et les exemples d'utilisation des fonctions avec la commande, voir stats.
Pour obtenir des exemples d'utilisation de cette commande dans des scénarios types, voir :
L'interrogation suivante regroupe le modèle de séries chronologiques par entité.
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timecluster avg('Content Size') by EntityL'interrogation suivante regroupe les modèles de série chronologique par entité uniquement pour les journaux ayant une gravité fatale.
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | addfields [ * | where Severity = fatal | timecluster avg('Content Size') by Entity ]