Использование статистических команд и функций
Ниже представлены команды, предназначенные для работы в сочетании со статистическими функциями, которые позволяют подсчитать суммы, средние значения, диапазоны и т.д. Команды stats
, streamstats
и eventstats
позволяют вычислять сводную статистику по результатам поиска или событиям, полученным из индекса.
timechart
Использует статистические функции (avg
, count
, dc
, max
, sum
) и возвращает результат поиска в виде диаграммы временных рядов, где ваши данные отображаются на оси X, которая всегда является полем времени.
Команда timechart
позволяет выполнять статистические функции, распределяя результаты по времени (построение временной диаграммы). Затем, эту таблицу можно визуализировать как диаграмму, где ваши данные отображаются на оси X
, которая всегда является полем времени. Ось Y
может представлять собой любое другое значение поля, количество значений или статистический расчет значения поля. Визуализация временных диаграмм обычно представляют собой линейные, зональные или столбчатые диаграммы.
По умолчанию, период сбора информации - 30 мин. За это отвечает параметр span
. Запрос выведет график событий из логов с периодом сбора 1 час и выполнит сортировку по кодам отве та сервера (для этого используется ключевое слово by
). Временной диапазон сегодня
.
source sm_cs_web_indexes
| timechart span=60min count by http.response.status_code
Для изменения линейного график на столбчатый - нужно выбрать соответствующую иконку на вкладке виртуализация.
Рекомендуется включать опцию Группировка серий
.
chart
В отличие от команды timechart
, которая использует поле time
для оси X
, команда chart
позволяет использовать произвольное поле в качестве оси X
. Для этого используется ключевое слово over
, чтобы определить, какое поле занимает ось Х
. Поддерживает визуализацию диаграмм: column
, line
, area
, и pie chart
.
Запрос выведет информацию по максимальной стоимости заказа с сортировкой по идентификаторам пользователей.
source food_orders
| chart max(total_price) by user_id
Запрос выведет информация по минимальной стоимости заказа с сортировкой по идентификаторам пользователей.
source food_orders
| chart min(total_price) by user_id
Запрос выведет информацию по стоимости первого заказа каждого пользователя с сортировкой по идентификаторам пользователей.
source food_orders
| chart first(total_price) by user_id
Запрос выведет информацию по средней стоимости заказа каждого пользователя с сортировкой по идентификаторам пользователей.
source food_orders
| chart avg(total_price) by user_id