timecluster
Use este comando para agrupar os gráficos de séries temporais com base na semelhança entre eles.
Sintaxe
timecluster [<timecluster_options>] <stats_function> (<field_name>) [as new_field_name] [, <stats_function> (<field_name>) [as new_field_name]]* by <field_name> [, <field_name>]*Parâmetros
A tabela a seguir lista os parâmetros usados com esse comando, com suas descrições.
| Parâmetro | Descrição |
|---|---|
|
|
Use esse parâmetro para especificar como os dados devem ser colocados no bucket. Os valores permitidos para este parâmetro devem seguir o formato |
|
|
Use esse parâmetro para definir o tamanho de cada bucket, usando um intervalo com base no tempo. Os valores permitidos para esse parâmetro devem seguir o formato Use o parâmetro Sintaxe para
|
|
|
O campo deve ter um valor de marcador de data/hora. Se não for especificado, |
|
|
Reduzir o número de valores agregados a retornar para uma função. |
|
|
Nome para exibição do gráfico. |
Você pode usar as funções associadas ao comando
stats com o comando timecluster também. Para obter detalhes sobre as funções e os exemplos de uso das funções com o comando, consulte stats.
Para obter um exemplo de uso desse comando em cenários típicos, consulte:
A consulta a seguir agrupa o padrão de séries temporais por entidade.
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timecluster avg('Content Size') by EntityA consulta a seguir agrupa os padrões de séries temporais por entidade apenas para logs fatais.
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | addfields [ * | where Severity = fatal | timecluster avg('Content Size') by Entity ]