分析功能和可视化
使用我们强大的LEQL函数,您可以生成查询,轻松可视化您的数据,无需任何预处理。
LEQL功能
以下是InsightOps提供的分析功能。
数数
日志搜索还支持返回匹配的搜索结果计数。附加计算(计数)到您的搜索查询或按下计算来获取搜索结果的数量。下面是一个例子。
1
(状态= 500)计算(计算)
和
您可以使用sum函数来完成名称值对的值。如果您有expe_value kvp并希望了解指定时间段的总销售,则将使用以下查询返回:
1
在哪里(Sale_total> 0)计算(和:Sale_total)。
平均
平均函数与SUM相同,但它计算符合搜索条件的值的平均值。例如,要获得销售的平均值,您可能会调用搜索:
1
在哪里(Sale_total> 0)计算(平均:Sale_total)
算上独特
函数的作用是:返回给定键的唯一值的数量。它接受一个参数:键的名称。例如,如果您的日志文件中有KVP userID,并且想要查找唯一用户的数量:
1
(userID)计算(独特:userID)
闵
min函数将返回每个时间段的键的最小值。例如,下面的查询将返回每个时间段的最短响应时间:
1
(状态= 200)计算(分钟:responseTime)
马克斯
最大函数将返回每个时间段的键的最大值。例如,下面的查询将返回每个时间段的最长响应时间:
1
其中(status = 200)计算(max:ranceetime)
通过...分组
您可以根据分组相同的数据集执行搜索功能。在下面的示例中,日志包含kvp“status”,它表示来自Web服务器的请求的HTTP状态代码。
1
其中(状态)GroupBy(状态)计算(计数)
默认情况下,如果没有,leql将根据下降顺序自动对结果集进行排序种类使用关键字。
搜索GroupBy,所以如果您有一个以上10,000个唯一组的数据集,那么结果groupby(key)计算(计数)查询将与a相比扭曲其中(键)计算(计数)询问。
groupby多个字段
GroupBy函数允许您在日志数据中的多个字段组进行组。运行单个查询以获取日志数据的整体视图,以及深入了解该数据。要使用此功能,请在a中添加最多5个字段通过...分组询问。
1
Groupby (destination_user, result, service, source_asset_address) calculate(count)
运行查询后,结果将显示在堆叠的条形图中,显示2组。如果您向查询添加了超过2个字段,请单击一个栏以进一步深入到下面的2个组,这些组由您所单击的栏过滤。
结果也将以表格格式显示,允许您通过单击箭头来显示组以显示后续字段。
增加集群下限
您可以通过添加来增加Groupby查询与Limit关键字返回的组数限制(n)在你的查询的结尾n表示组的数量。请参阅下表,了解每组键数的最大组数。任何大于最大组数的输入值都将默认为最大值。
| 组键数 | 最大组 |
|---|---|
| groupby(x0) | 10,000 |
| groupby(x0,x1) | 20,000 |
| groupby(x0,x1,x2) | 30,000 |
| groupby(x0,x1,x2,x3) | 40,000 |
| groupby(x0,x1,x2,x3,x4) | 50,000 |
请注意,对于大于上表中列出的最大列出的组,结果是无规定的近似。
1
Where (status) groupby(status) calculate(count) sort(desc) limit(350)
如果要按多字段分组,则可以通过其他值来限制每个单个组返回的行数。按多个字段分组时,限制跨组适用于根据下表的组:
| 查询 | Groupby限制 |
|---|---|
| groupby(x,y)限制(5) | groupby(x,y)限制(5,5) |
| Groupby (x, y, z) limit(20,12) | Groupby (x, y, z) limit(20,12,12) |
| groupby (x, y) | Groupby (x, y)极限(40,40) |
以下查询为GroupBy函数中的第一个字段设置了100个组的限制,以及第二个字段的20。
1
Groupby (source_asset_address, service) calculate(count) sort(desc) limit(100,20)
默认情况下,如果在查询中不使用limit关键字,LEQL将每个组限制为40个结果。
种类
您有能力对GroupBy按升序或降序返回的结果进行排序,或按字母顺序排列转动的键的名称。
这将根据函数返回的计数降序排序
1
其中(状态> = 300)GroupBy(状态)计算(计数)排序(DESC)
这将按字母顺序排列用户名列表:
1
groupby(用户名)计算(计数)排序(ASC#键)
排序下降的关键字是去世和下降.要对升序进行排序的关键字是asc.和提升.
请注意如果你使用种类和种类在您的查询中,您必须放置限制后种类函数。
时间片
在执行基于时间的查询时,InsightOps将自动计算10个相等的时间间隔。当您没有按日志中的键进行分组时)。
您可以通过时间片功能手动设置时间间隔的数量。时间片的有效输入是一个介于1到200(包括)之间的数字,或者您可以指定一个时间单位。
下面用于1小时搜索期的查询将返回每分钟500误差的计数。
1
其中(status = 500)计算(计数)timelice(60)
这将把结果分成30秒的间隔
1
(状态= 500)计算(计算)时间片(30岁)
这将将结果分为5分钟的间隔
1
(状态= 500)计算(计算)时间片(5米)
这将结果分为小时间隔
1
其中(status = 500)计算(计数)timelice(1h)
百分位数
百分位选项现在允许您从搜索功能中排除异常值。在简单模式下,您可以基于具有数字数的键值对快速选择第95或第99个百分位搜索功能。使用高级模式的用户可以使用百分比指定自己的百分位数PCTL(80):key_value_pair在他们的计算函数中。
1
计算(PCTL(99):录音Number)
字节
Bytes选项允许您以字节形式计算日志的大小。对于希望验证发送到帐户的日志大小的用户来说,这很有用。一个简单的查询将计算给定日志的大小(/ * /)计算(字节)
所选日志的字节数您可以使用以下查询来按所选日志查看每个日志的字节字节的细分:
1
groupby(#日志)计算(字节)
标准偏差
标准偏差选项允许您计算给定系列值的标准偏差。当尝试建立在正常方差内的值为给定均值的响应时间时,这是有用的。
1
计算(标准化:服务)
您还可以使用关键字SD.作为捷径计算(SD:服务).