异常图

适用于:✅Azure 数据资源管理器Azure MonitorMicrosoft Sentinel

异常图表可视化效果类似于 timechart,但使用 series_decompose_anomalies 函数突出显示异常。

注意

此可视化效果只能在 render 运算符的上下文中使用。

语法

T | render anomalychart [with ( propertyName = propertyValue [, ...])]

详细了解语法约定

参数

客户 类型​​ 必需 说明
T string ✔️ 输入表名称。
propertyName, propertyValue string 键值属性对的逗号分隔列表。 请参阅支持的属性

支持的属性

所有属性都是可选的。

PropertyName PropertyValue
accumulate 是否将每个度量的值加到其所有前导度量中。 (truefalse
legend 是否显示图例(visiblehidden)。
series 以逗号分隔的列列表,其中的每记录值组合定义了记录所属的系列。
ymin 要在 Y 轴上显示的最小值。
ymax 要在 Y 轴上显示的最大值。
title 可视化效果的标题(string 类型)。
xaxis 如何缩放 x 轴(linearlog)。
xcolumn 结果中的哪一列用于 x 轴。
xtitle x 轴的标题(string 类型)。
yaxis 如何缩放 y 轴(linearlog)。
ycolumns 由逗号分隔的列列表,其中包含根据 x 列的值提供的值。
ysplit 如何拆分多个可视化效果。 有关详细信息,请参阅多个 y 轴
ytitle y 轴的标题(string 类型)。
anomalycolumns 将被视为异常系列并在图表中显示为点的列的逗号分隔列表

ysplit 属性

此可视化效果支持拆分为多个 y 轴值。 此属性支持的值为:

ysplit 描述
none 为所有系列数据显示单个 y 轴。 (默认值)
axes 单个图表将显示多个 y 轴(每个系列一个)。
panels 为每个 ycolumn 值呈现一个图表(直至达到某个限制)。

示例

let min_t = datetime(2017-01-05);
let max_t = datetime(2017-02-03 22:00);
let dt = 2h;
demo_make_series2
| make-series num=avg(num) on TimeStamp from min_t to max_t step dt by sid 
| where sid == 'TS1'   //  select a single time series for a cleaner visualization
| extend (anomalies, score, baseline) = series_decompose_anomalies(num, 1.5, -1, 'linefit')
| render anomalychart with(anomalycolumns=anomalies, title='Web app. traffic of a month, anomalies') //use "| render anomalychart with anomalycolumns=anomalies" to render the anomalies as bold points on the series charts.

异常图表输出的屏幕截图。