backshift
backshift operator は、時間の経過とともに変化する値を比較します。backshift は rollingstd や smooth をはじめとして、その結果がデータのスパイクに影響を受ける可能性がある operator と一緒に使用できます (スパイクによって将来の結果に誤差が生じる可能性がある)。
backshift では、自動的にタイムスライスが追加されることも、何らかの方法で並べ替えが行われることもありません。たとえばタイムススライスを追加したり、必要に応じて何らかの並べ替えを追加するために手動で他の operator を追加することはできます。時系列分析を追加するには、クエリの backshift operator の前に _timeslice | ... | sort + _timeslice を追加します。
構文
backshift <field> [, shift_length]
ルール
backshiftのエイリアスは省略可能です。エイリアスが指定されない場合、_backshiftがデフォルトのエイリアスとなります。- 指定されるフィールドには数値が含まれている必要があります。
backshiftoperator を含むクエリをダッシュボードに追加するには、backshiftoperator の前に group by 関数を追加する必要があります。- デフォルトのウィンドウ長 (
shift_length) は 10 です。 - 最大のウィンドウ長は 1000 です。
例
backshift を使用して、時点間のフィールドの差を確認します。
次のようなクエリを実行するとします。
_sourcecategory=Labs/Apache/Access
| timeslice by 1m
| count by _timeslice
| sort + _timeslice
| backshift _count,10 as size
結果は次のようになります。
続いて、結果を面グラフとして視覚化できます。
