每天 distinct_count 的时间表

Timechart with distinct_count per day

我有一个查询,显示一天内记录给定事件超过 3 次的主机数量:

index=desktopevents "target" 
| stats count by host | dedup host 
| where count > 3 | stats dc(host)

我想不通的是如何将它与 timechart 一起使用,这样我就可以获得一段时间内每天 的非重复计数。天真的时间表输出累积 dc 值,而不是每天(显然它缺少我的多于三个子句):

index=desktopevents "target" 
| timechart span=1d dc(host)

我认为这可能有效,但图表是空白的:

index=desktopevents "target" 
| stats count by host | dedup host 
| where count > 3 | timechart span=1d dc(host)

我会使用 bin 按 1 天分组

正在准备测试数据:

| gentimes start=07/23/2021 increment=1h 
| eval _time=starttime 
| eval host="host"+tostring(random()%18) 

现在包含聚合和过滤的完整查询:

| gentimes start=07/23/2021 increment=1h 
| eval _time=starttime 
| eval host="host"+tostring(random()%18) 
| bin span=1d _time 
| stats count by _time host 
| where count > 3 
| timechart count