折れ線グラフ

折れ線グラフは、時間を通じた傾向の把握を容易にします。

NQLクエリにはタイムスタンプフィールドと1つ以上の集約が含まれている必要があります。

データ構造

<timestamp>, <kpi1>, <kpi2>, ...

NQL構造

データのクエリ例は、ライブダッシュボードNQL例のドキュメントを参照してください。

時間を通じた集約されたKPI

<event table> <time_duration>
...
概要 <kpi1>, <kpi2>, ... <time_duration_granularity>による
(リスト <time>, <kpi1>, <kpi2>, ...)

リスト行はオプションです。リスト行を指定しない場合、システムはデフォルトでstart_timeを使用します。例えばend_timeなど異なる時間フィールドを使用したい場合は、リスト行でこれを指定することができます。

シリーズ名

シリーズ名は、それに対応するNQLクエリの変数名から取得されます。

変数名は次の方法でフォーマットされます：

アンダースコアはスペースに置き換えられます。
変数の最初の文字は大文字に変えられます。

折れ線グラフに特有の視覚化フィールドを設定する

このウィジェットに特化していない設定フィールドの記入方法については、ライブダッシュボードを管理するドキュメントを参照してください。

「ウィジェットを追加する」/ウィジェットを編集する」のポップアップで折れ線グラフオプションを選択した後：

ウィジェットに**タイトル（オプション）**を付けます。
指標の解釈方法、計算方法、または指標に関連する微妙な点を説明するために、**ウィジェット説明（オプション）**を入力します。
- ダッシュボードの折れ線グラフウィジェットの隣にある情報アイコンにホバーすると、ウィジェット説明が表示されます。
問題解決のためにデータを素早く評価できるように、折れ線グラフの一部を赤または黄色に着色するための評価しきい値を設定します。次から選択：
- 1つのしきい値: 折れ線グラフに赤いセクションが表示され、悪い範囲を示します。\
  - システムは>=演算子でしきい値を評価します。上記の例は次のように評価されます：
    良い: もし指標が< 2.2
    悪い: もし指標が>= 2.2
  - インバートを選択して、良い状態と悪い状態を反転させます。逆にすると、上記の例は次のように評価されます：
    悪い: もし指標が< 2.2
    良い: もし指標が>= 2.2
- 2つのしきい値: 折れ線グラフに赤いセクションが表示され、悪い範囲を示し、黄色のセクションが表示され、平均範囲を示します。\
  - システムは>=演算子でしきい値を評価します。上記の例は次のように評価されます：
    良い: もし指標が< 100
    平均: もし指標が>= 100かつ指標が< 500
    悪い: もし指標が>= 500
  - インバートを選択して、良い状態と悪い状態を反転させます。逆にすると、上記の例は次のように評価されます：
    悪い: もし指標が< 100
    平均: もし指標が>= 100かつ指標が< 500
    良い: もし指標が>= 500

折れ線グラフでの複数の指標

Nexthinkは同じ折れ線グラフで異なる単位の指標を混ぜることを推奨しません。異なる単位の指標で同じ折れ線グラフに混在させることを選ぶ場合、メトリックの順序によって測定単位が決まることに留意してください：

y軸にはクエリ内の最初のメトリックの単位が表示されます。
最大値はすべてのシリーズの最大値に依存し、異なる単位であっても第二のシリーズからの最大値を取り得ます。

例1

execution.events during past 7d
| where binary.name == "outlook.exe" 
| summarize 
   memory__ = memory.avg() , 
   execution_duration__ = execution_duration.sum() by 1d

システムはmemory__から単位を取り、それはバイトフィールドです。 y軸の最大値を得るために、システムはmemory__シリーズの最大値である262MB（2億7400万バイト）を、execution_duration__の最大値である13週間（700万秒）と比較します。システムは262MBの値を使用します。

例2

execution.events during past 7d
| where binary.name == "outlook.exe"
| summarize 
   execution_duration__ = execution_duration.sum(), 
   memory__ = memory.avg() by 1d

システムはexecution_duration__から単位を取り、それは持続時間フィールドです。 y軸の最大値を得るために、システムはmemory__シリーズの最大値である262MB（2億7400万バイト）を、execution_duration__の最大値である13週間（700万秒）と比較します。システムは2億7400万秒という値を使用し、それを秒（2億7400万秒＝454週間4日）として扱います。

指標をセグメントに分解する

折れ線グラフのクエリは、summarize <a href="#user-content-fn-1" id="user-content-fn-1"></a> 文を使用して、データセグメントに指標を分解することをサポートしています... byキーワードを使ってプロパティを追加することにより。

例えば、以下のクエリはカスタムトレンドスナップショットを取得します。 hardware_manufacturerごとのクラッシュ数の進化を分解します。&#x20

custom_trend.#execution.snapshots during past 90d
| summarize 
  crashes_per_device = nb_crashed.sum() / device.count() by 1d, 
  hardware_manufacturer
| sort crashes_per_device desc

summarize文の最後にプロパティを追加して、より多くの分解を表示します。例えば、hardware_manufacturerの後にdevice.hardware.modelを追加して、メーカーとモデルの両方の分解を表示します。&#x20

custom_trend.#execution.snapshots during past 90d
| summarize 
  crashes_per_device = nb_crashed.sum() / device.count() by 1d, 
  hardware_manufacturer, 
  device.hardware.model
| sort crashes_per_device desc

折れ線グラフは上位5シリーズのみを表示します。

sort句を使用して、特定の期間のメトリック値が最も大きいシリーズを選択します。例えば、上記のクエリでの| sort crashes_per_device descは、デバイスごとに最もクラッシュが多い5つのハードウェアメーカーとモデルを選択します。

ダッシュボードにフィルターを適用して、その他のシリーズを確認してください。&#x20