timecluster
Utilisez cette commande pour regrouper les graphiques de séries temporelles en fonction de leur similitude.
Syntaxe
timecluster [<timecluster_options>] <stats_function> (<field_name>) [as new_field_name] [, <stats_function> (<field_name>) [as new_field_name]]* by <field_name> [, <field_name>]*Paramètres
Le tableau suivant répertorie les paramètres utilisés avec cette commande, ainsi que leur description.
| Paramètre | Description |
|---|---|
|
|
Utilisez ce paramètre pour indiquer comment les données doivent être placées dans des buckets. Les valeurs autorisées pour ce paramètre doivent respecter le format |
|
|
Utilisez ce paramètre pour définir la taille de chaque bucket, à l'aide d'un intervalle de temps. Les valeurs autorisées pour ce paramètre doivent respecter le format Utilisez le paramètre Syntaxe de
|
|
|
Le champ doit avoir une valeur d'horodatage. Si aucune valeur n'est indiquée, |
|
|
Réduisez le nombre de valeurs agrégées à renvoyer pour une fonction. |
|
|
Nom à afficher pour le graphique. |
Vous pouvez également utiliser les fonctions associées à la commande
stats avec la commande timecluster. Pour plus d'informations sur les fonctions et pour des exemples d'utilisation des fonctions avec la commande, reportez-vous à stats.
Pour obtenir un exemple d'utilisation de cette commande dans des scénarios standard, reportez-vous à :
La requête suivante regroupe le modèle de séries temporelles par entité.
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timecluster avg('Content Size') by EntityLa requête suivante regroupe les modèles de séries temporelles par entité uniquement pour les journaux fatals.
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | addfields [ * | where Severity = fatal | timecluster avg('Content Size') by Entity ]