timestats
Utilizzare questo comando per generare dati per la visualizzazione degli andamenti statistici nel tempo, facoltativamente raggruppati per campo.
Sintassi
timestats [<timestats_options>] <stats_function / timestats_function> "("<field_name>")" [as new_field_name] [, <stats_function / timestats_function> "("<field_name>")" [as new_field_name]]* [by_<field_name>]Parametri
La tabella seguente elenca i parametri utilizzati con questo comando e le relative descrizioni.
| Parametro | descrizione; |
|---|---|
|
|
Utilizzare questo parametro per specificare la modalità di definizione dei bucket dei dati. I valori consentiti per questo parametro devono seguire il formato |
|
|
Utilizzare questo parametro per impostare la dimensione di ogni bucket, utilizzando una lunghezza di intervallo basata sul tempo. I valori consentiti per questo parametro devono seguire il formato |
|
|
Utilizzare questo parametro per specificare l'ora di dimensionamento dei bucket. Permitted values for this parameter must be either Sintassi:
|
|
|
Il campo deve avere un valore di indicatore orario. Se non specificato, viene utilizzato il valore |
|
|
Ridurre il numero di valori aggregati da restituire per una funzione. |
|
|
Quando si esegue il raggruppamento per campi, viene restituito il conteggio n di gruppi distinti con i valori aggregati più grandi. |
|
|
Quando si esegue il raggruppamento per campi, restituire il conteggio n di gruppi distinti con i valori aggregati più piccoli. |
|
|
Nome da visualizzare per il grafico. |
È possibile utilizzare anche le funzioni associate al comando
stats con il comando timestats. Per informazioni dettagliate sulle funzioni e sugli esempi di utilizzo del comando, vedere stats.
Funzioni
La tabella seguente elenca le funzioni disponibili con questo comando, insieme ai relativi esempi.
| Funzione | Esempi |
|---|---|
|
persecond: restituisce un datapoint per intervallo che rappresenta la velocità media al secondo. |
|
|
perminute: restituisce un datapoint per intervallo che rappresenta la frequenza media al minuto |
|
|
perhour: restituisce un datapoint per intervallo che rappresenta la tariffa media all'ora |
|
|
perday: restituisce un datapoint per intervallo che rappresenta la frequenza media al giorno |
|
La query seguente restituisce il conteggio delle voci di log irreversibili nell'intervallo di tempo specificato.
Severity = fatal | timestats countLa query seguente restituisce il conteggio dei log raggruppati in chunk giornalieri.
* | timestats span = 1day countRestituisce il conteggio delle voci di log, per destinazione, nell'intervallo di tempo specificato per le destinazioni di produzione:
'lifecycle status'='production' | search * | timestats count by targetGrafico serie temporale per entità in proprietà gruppo:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats avg('Content Size') by EntityGrafico serie temporale per entità solo per log irreversibili:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | addfields [ * | where Severity = fatal | timestats avg('Content Size') by Entity ]Limitare il grafico della serie temporale a 20 valori:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats maxvalues = 20 avg('Content Size')Restituisce i grafici delle serie temporali per le prime 3 entità:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats topcount = 3 avg('Content Size') by EntityRestituisce i grafici delle serie temporali per le ultime 3 entità:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats bottomcount = 3 avg('Content Size') by Entity