随着时间的推移按小时分组事件计数
Group event counts by hour over time
我目前有一个查询可以汇总过去一小时内的事件,并在事件超过特定阈值时提醒我的团队。该查询最近被意外禁用,事实证明有时警报应该触发但没有触发。
我的目标是将此警报查询逻辑应用到上个月,并确定如果警报正常运行会触发多少次。但是,我很难弄清楚如何最好地对这些进行分组。在伪代码中,我基本上会(运行 在 30 天的时间范围内):
index="some_index" | where count > n | group by hour
希望这是有道理的,如果没有,我很乐意提供一些说明。
提前致谢
这应该让你开始:
index=foo | bin span=1h _time | stats count by _time | where count > n
我目前有一个查询可以汇总过去一小时内的事件,并在事件超过特定阈值时提醒我的团队。该查询最近被意外禁用,事实证明有时警报应该触发但没有触发。
我的目标是将此警报查询逻辑应用到上个月,并确定如果警报正常运行会触发多少次。但是,我很难弄清楚如何最好地对这些进行分组。在伪代码中,我基本上会(运行 在 30 天的时间范围内):
index="some_index" | where count > n | group by hour
希望这是有道理的,如果没有,我很乐意提供一些说明。
提前致谢
这应该让你开始:
index=foo | bin span=1h _time | stats count by _time | where count > n