每天 distinct_count 的时间表
Timechart with distinct_count per day
我有一个查询,显示一天内记录给定事件超过 3 次的主机数量:
index=desktopevents "target"
| stats count by host | dedup host
| where count > 3 | stats dc(host)
我想不通的是如何将它与 timechart
一起使用,这样我就可以获得一段时间内每天 的非重复计数。天真的时间表输出累积 dc
值,而不是每天(显然它缺少我的多于三个子句):
index=desktopevents "target"
| timechart span=1d dc(host)
我认为这可能有效,但图表是空白的:
index=desktopevents "target"
| stats count by host | dedup host
| where count > 3 | timechart span=1d dc(host)
我会使用 bin
按 1 天分组
正在准备测试数据:
| gentimes start=07/23/2021 increment=1h
| eval _time=starttime
| eval host="host"+tostring(random()%18)
现在包含聚合和过滤的完整查询:
| gentimes start=07/23/2021 increment=1h
| eval _time=starttime
| eval host="host"+tostring(random()%18)
| bin span=1d _time
| stats count by _time host
| where count > 3
| timechart count
我有一个查询,显示一天内记录给定事件超过 3 次的主机数量:
index=desktopevents "target"
| stats count by host | dedup host
| where count > 3 | stats dc(host)
我想不通的是如何将它与 timechart
一起使用,这样我就可以获得一段时间内每天 的非重复计数。天真的时间表输出累积 dc
值,而不是每天(显然它缺少我的多于三个子句):
index=desktopevents "target"
| timechart span=1d dc(host)
我认为这可能有效,但图表是空白的:
index=desktopevents "target"
| stats count by host | dedup host
| where count > 3 | timechart span=1d dc(host)
我会使用 bin
按 1 天分组
正在准备测试数据:
| gentimes start=07/23/2021 increment=1h
| eval _time=starttime
| eval host="host"+tostring(random()%18)
现在包含聚合和过滤的完整查询:
| gentimes start=07/23/2021 increment=1h
| eval _time=starttime
| eval host="host"+tostring(random()%18)
| bin span=1d _time
| stats count by _time host
| where count > 3
| timechart count