timestats
Utilisez cette commande pour générer les données permettant de présenter les tendances statistiques dans le temps, éventuellement regroupées par champ.
Rubriques :
Syntaxe
timestats [<timestats_options>] <stats_function / timestats_function> "("<field_name>")" [as new_field_name] [, <stats_function / timestats_function> "("<field_name>")" [as new_field_name]]* [by_<field_name>]Paramètres
Le tableau suivant répertorie les paramètres utilisés avec cette commande, ainsi que leur description.
| Paramètre | Description |
|---|---|
|
|
Utilisez ce paramètre pour indiquer comment les données doivent être placées dans des buckets. Les valeurs autorisées pour ce paramètre doivent respecter le format |
|
|
Utilisez ce paramètre pour définir la taille de chaque bucket, à l'aide d'un intervalle de temps. Les valeurs autorisées pour ce paramètre doivent respecter le format Les plages horaires maximales suivantes s'appliquent à des valeurs spécifiques de
Dans le cas d'une exécution de la commande
Au-delà de ces périodes, |
|
|
Utilisez ce paramètre pour indiquer le moment de dimensionnement des buckets. Les valeurs autorisées pour ce paramètre doivent être Syntaxe :
|
|
|
Le champ doit avoir une valeur d'horodatage. Si aucune valeur n'est indiquée, |
|
|
Réduisez le nombre de valeurs agrégées à renvoyer pour une fonction. |
|
|
Lorsque vous effectuez un regroupement par champs, renvoyez n nombre de groupes distincts avec les valeurs agrégées les plus importantes. |
|
|
Lors du regroupement par champs, renvoyer n nombre de groupes distincts avec les plus petites valeurs agrégées |
|
|
Nom à afficher pour le graphique. |
Vous pouvez également utiliser les fonctions associées à la commande
stats avec la commande timestats. Pour plus d'informations sur les fonctions et pour des exemples d'utilisation des fonctions avec la commande, reportez-vous à stats.
Fonctions
Le tableau suivant répertorie les fonctions disponibles avec cette commande, accompagnées d'exemples.
| Fonction | Exemples |
|---|---|
|
persecond : renvoie un point de données par intervalle représentant le taux moyen par seconde. |
|
|
perminute : renvoie un point de données par intervalle représentant le taux moyen par minute. |
|
|
perhour : renvoie un point de données par intervalle représentant le taux moyen par heure. |
|
|
perday : renvoie un point de données par intervalle représentant le taux moyen par jour. |
|
La requête suivante renvoie le nombre d'entrées de journal dont la gravité est Fatal sur la période indiquée.
Severity = fatal | timestats countLa requête suivante renvoie le nombre de journaux répartis en buckets quotidiens.
* | timestats span = 1day countRenvoie le nombre d'entrées de journal, par cible, sur la période indiquée pour les cibles de production :
'lifecycle status'='production' | search * | timestats count by targetGraphique de séries temporelles par entité sur la propriété de groupe :
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats avg('Content Size') by EntityGraphique de séries temporelles par entité uniquement pour les journaux fatals :
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | addfields [ * | where Severity = fatal | timestats avg('Content Size') by Entity ]Limitez le graphique de séries temporelles à 20 valeurs :
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats maxvalues = 20 avg('Content Size')Renvoyer les graphiques de séries temporelles pour les 3 principales entités :
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats topcount = 3 avg('Content Size') by EntityRenvoyer les graphiques de séries temporelles pour les 3 entités inférieures :
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats bottomcount = 3 avg('Content Size') by Entity