我目前有一个查询汇总过去一小时内的事件,并在事件超过特定阈值时提醒我的团队。该查询最近被意外禁用,事实证明有时应该触发警报但没有触发。
我的目标是将此警报查询逻辑应用于上个月,并确定警报会触发多少次,如果它正常工作的话。但是,我很难弄清楚如何最好地对这些进行分组。在伪代码中,我基本上会拥有(运行超过 30 天的时间框架):
index="some_index" | where count > n | group by hour
希望这是有道理的,如果没有,我很乐意提供一些澄清。
提前致谢