timecluster
Utilizzare questo comando per raggruppare i grafici delle serie temporali in base alla loro somiglianza.
Sintassi
timecluster [<timecluster_options>] <stats_function> (<field_name>) [as new_field_name] [, <stats_function> (<field_name>) [as new_field_name]]* by <field_name> [, <field_name>]*Parametri
Nella tabella seguente sono elencati i parametri utilizzati con questo comando, insieme alle relative descrizioni.
| Parametro | Descrizione |
|---|---|
|
|
Utilizzare questo parametro per specificare la modalità di definizione dei periodi fissi per i dati. I valori consentiti per questo parametro devono essere nel formato |
|
|
Utilizzare questo parametro per impostare la dimensione di ciascun bucket, utilizzando un intervallo di tempo basato sul tempo. I valori consentiti per questo parametro devono essere nel formato Utilizzare il parametro Sintassi per
|
|
|
Il campo deve avere un valore di indicatore orario. Se non specificato, viene utilizzato |
|
|
Ridurre il numero di valori aggregati da restituire per una funzione. |
|
|
Nome da visualizzare per il grafico. |
È possibile utilizzare anche le funzioni associate al comando
stats con il comando timecluster. Per informazioni dettagliate sulle funzioni e sugli esempi di utilizzo delle funzioni del comando, vedere stats.
Ad esempio, se si utilizza questo comando in scenari tipici, vedere:
La query seguente raggruppa il pattern delle serie temporali per entità.
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timecluster avg('Content Size') by EntityLa query seguente raggruppa i pattern di serie temporali in base all'entità solo per i log irreversibili.
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | addfields [ * | where Severity = fatal | timecluster avg('Content Size') by Entity ]