timestats
Use esse comando para gerar dados de exibição de tendências estatísticas ao longo do tempo, opcionalmente agrupadas por campo.
Tópicos:
Sintaxe
timestats [<timestats_options>] <stats_function / timestats_function> "("<field_name>")" [as new_field_name] [, <stats_function / timestats_function> "("<field_name>")" [as new_field_name]]* [by_<field_name>]Parâmetros
A tabela a seguir lista os parâmetros usados com esse comando, com suas descrições.
| Parâmetro | Descrição |
|---|---|
|
|
Use esse parâmetro para especificar como os dados devem ser colocados no bucket. Os valores permitidos para este parâmetro devem seguir o formato |
|
|
Use esse parâmetro para definir o tamanho de cada bucket, usando um intervalo com base no tempo. Os valores permitidos para esse parâmetro devem seguir o formato Os seguintes intervalos de tempo máximos se aplicam a valores específicos de
No caso de o comando
Além desses intervalos de tempo, |
|
|
Use esse parâmetro para especificar o tempo para dimensionar os buckets. Os valores permitidos para esse parâmetro devem ser Sintaxe:
|
|
|
O campo deve ter um valor de marcador de data/hora. Se não for especificado, |
|
|
Reduzir o número de valores agregados a retornar para uma função. |
|
|
Ao agrupar por campos, retorna a contagem de n grupos distintos com os maiores valores agregados. |
|
|
Ao agrupar por campos, retorna a contagem de n de grupos distintos com os menores valores agregados |
|
|
Nome para exibição do gráfico. |
Você também pode usar as funções associadas ao comando
stats com o comando timestats. Para obter detalhes sobre as funções e os exemplos de uso das funções com o comando, consulte stats.
Funções
A tabela a seguir lista as funções disponíveis com este comando, em conjunto com seus exemplos.
| Função | Exemplos |
|---|---|
|
persecond: Retorna um ponto de dados por intervalo representando a taxa média por segundo. |
|
|
perminute: Retorna um ponto de dados por intervalo representando a taxa média por minuto |
|
|
perhour: Retorna um ponto de dados por intervalo representando a taxa média por hora |
|
|
perday: Retorna um ponto de dados por intervalo representando a taxa média por dia |
|
A consulta a seguir retorna a contagem de entradas de log fatais na faixa de tempo especificada.
Severity = fatal | timestats countA consulta a seguir retorna a contagem de logs no bucket em chunks diários.
* | timestats span = 1day countRetorna a contagem de entradas de log, por destino no intervalo de tempo especificado para os destinos de produção:
'lifecycle status'='production' | search * | timestats count by targetGráfico de séries temporais por entidade na propriedade de grupo:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats avg('Content Size') by EntityGráfico de séries temporais por entidade somente para logs fatais:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | addfields [ * | where Severity = fatal | timestats avg('Content Size') by Entity ]Limite o gráfico de séries temporais a 20 valores:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats maxvalues = 20 avg('Content Size')Retorna os gráficos de séries temporais das 3 principais entidades:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats topcount = 3 avg('Content Size') by EntityRetorna os gráficos de séries temporais das 3 entidades inferiores:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats bottomcount = 3 avg('Content Size') by Entity