timecluster
Utilizzare questo comando per raggruppare i grafici delle serie temporali in base alla loro somiglianza.
Sintassi
timecluster [<timecluster_options>] <stats_function> (<field_name>) [as new_field_name] [, <stats_function> (<field_name>) [as new_field_name]]* by <field_name> [, <field_name>]*Parametri
La tabella seguente elenca i parametri utilizzati con questo comando e le relative descrizioni.
| Parametro | descrizione; |
|---|---|
|
|
Utilizzare questo parametro per specificare la modalità di definizione dei bucket dei dati. I valori consentiti per questo parametro devono seguire il formato |
|
|
Utilizzare questo parametro per impostare la dimensione di ogni bucket, utilizzando una lunghezza di intervallo basata sul tempo. I valori consentiti per questo parametro devono seguire il formato Utilizzare il parametro Sintassi per
|
|
|
Il campo deve avere un valore di indicatore orario. Se non specificato, viene utilizzato il valore |
|
|
Ridurre il numero di valori aggregati da restituire per una funzione. |
|
|
Nome da visualizzare per il grafico. |
È possibile utilizzare anche le funzioni associate al comando
stats con il comando timecluster. Per informazioni dettagliate sulle funzioni e sugli esempi di utilizzo del comando, vedere stats.
Ad esempio, utilizzare questo comando in scenari tipici, vedere:
La query seguente raggruppa il pattern di serie temporale per entità.
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timecluster avg('Content Size') by EntityLa query seguente raggruppa i pattern delle serie temporali per entità solo per i log irreversibili.
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | addfields [ * | where Severity = fatal | timecluster avg('Content Size') by Entity ]