timestats
Use esse comando para gerar dados de exibição de tendências estatísticas ao longo do tempo, opcionalmente agrupadas por campo.
Tópicos:
Sintaxe
timestats [<timestats_options>] <stats_function / timestats_function> "("<field_name>")" [as new_field_name] [, <stats_function / timestats_function> "("<field_name>")" [as new_field_name]]* [by_<field_name>]Parâmetros
A tabela a seguir lista os parâmetros usados com esse comando, com suas descrições.
| Parâmetro | Descrição |
|---|---|
|
|
Use esse parâmetro para especificar como os dados devem ser colocados no bucket. Os valores permitidos para esse parâmetro devem seguir o formato |
|
|
Use esse parâmetro para definir o tamanho de cada bucket, usando um intervalo com base no tempo. Os valores permitidos para esse parâmetro devem seguir o formato |
|
|
Use esse parâmetro para especificar o tempo para dimensionar os buckets. Os valores permitidos para esse parâmetro devem ser Sintaxe:
|
|
|
O campo deve ter um valor de timestamp. Se não for especificado, |
|
|
Reduza o número de valores agregados a serem retornados para uma função. |
|
|
Ao agrupar por campos, retorne n contagem de grupos distintos com os maiores valores agregados. |
|
|
Ao agrupar por campos, retorna n contagem de grupos distintos com os menores valores agregados |
|
|
Nome a ser exibido para o gráfico. |
Você também pode usar as funções associadas ao comando
stats com o comando timestats. Para obter detalhes sobre as funções e os exemplos de uso das funções com o comando, consulte stats.
Funções
A tabela a seguir lista as funções disponíveis com este comando, em conjunto com seus exemplos.
| Função | Exemplos |
|---|---|
|
persecond: Retorna um ponto de dados por intervalo representando a taxa média por segundo. |
|
|
perminute: Retorna um ponto de dados por intervalo representando a taxa média por minuto |
|
|
perhour: Retorna um ponto de dados por intervalo representando a taxa média por hora |
|
|
perday: Retorna um ponto de dados por intervalo representando a taxa média por dia |
|
A consulta a seguir retorna a contagem de entradas de log fatais na faixa de tempo especificada.
Severity = fatal | timestats countA consulta a seguir retorna a contagem de logs no bucket em chunks diários.
* | timestats span = 1day countRetorna a contagem de entradas de log, por destino durante o intervalo de tempo especificado para os destinos de produção:
'lifecycle status'='production' | search * | timestats count by targetGráfico de séries temporais por entidade na propriedade do grupo:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats avg('Content Size') by EntityGráfico de séries temporais por entidade apenas para logs fatais:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | addfields [ * | where Severity = fatal | timestats avg('Content Size') by Entity ]Limite o gráfico de séries temporais a 20 valores:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats maxvalues = 20 avg('Content Size')Retorne os gráficos de séries temporais das 3 principais entidades:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats topcount = 3 avg('Content Size') by EntityRetorne os gráficos de séries temporais para as 3 entidades inferiores:
* | link Entity, Severity | stats sum('Content Size') as 'Content Size' | timestats bottomcount = 3 avg('Content Size') by Entity