Подсчитать количество последовательных событий в зависимости от значения?

Я столкнулся с проблемой мониторинга доступности здесь. У нас в сердечном ритме настроено сердцебиение, которое сообщает, запущено ли приложение со статусом = 0 или 1 каждую минуту. Дело в том, что иногда происходит сбой для одного события (без причины, так как приложение работает), и это снижает рейтинг доступности приложения, который основан на этом.

Можно ли настроить диаграмму, которая игнорирует события, если они не происходили 5 раз подряд?

Пример:

_time   Status
00:01   1
00:02   1
00:03   1
00:04   0
00:05   1
00:06   1
00:07   1
00:08   1
00:09   1
00:10   1
00:11   1

Если возникает 0, я хочу проверить, возникло ли оно в 4 предыдущих событиях, и только потом засчитать его в свой график - если нет, то я хочу считать его ложноположительным.

Всего 1 ответ


Вы можете сделать это с помощью streamstats .

<your existing search>
| streamstats count by Status reset_on_change=true
| where (Status=0 AND count>4)

Есть идеи?

10000