我目前有一个查询,该查询汇总过去一小时内的事件,如果事件超过特定阈值,则会提醒我的团队。该查询最近被意外禁用,事实证明,有时应该触发警报但没有触发警报。
我的目标是将此警报查询逻辑应用于上个月,并确定警报在正常运行时将触发多少次。但是,我很难弄清楚如何最好地将它们组合在一起。我基本上会使用伪代码(运行30天的时间范围):
index="some_index" | where count > n | group by hour
希望这是有道理的,如果没有,我很乐意提供一些澄清。
预先感谢
答案 0 :(得分:3)
这应该使您入门:
index=foo | bin span=1h _time | stats count by _time | where count > n