Splunk - Comando Statistiche
Il comando stats viene utilizzato per calcolare statistiche di riepilogo sui risultati di una ricerca o sugli eventi recuperati da un indice. Il comando stats funziona sui risultati della ricerca nel suo complesso e restituisce solo i campi specificati.
Ogni volta che si richiama il comando stats, è possibile utilizzare una o più funzioni. Tuttavia, puoi utilizzare solo una clausola BY. Se il comando stats viene utilizzato senza una clausola BY, viene restituita solo una riga, che è l'aggregazione dell'intero set di risultati in entrata. Se viene utilizzata una clausola BY, viene restituita una riga per ogni valore distinto specificato nella clausola BY.
Di seguito vediamo gli esempi su alcuni comandi stats utilizzati di frequente.
Trovare la media
Possiamo trovare il valore medio di un campo numerico utilizzando il avg()funzione. Questa funzione accetta il nome del campo come input. Senza una clausola BY, darà un singolo record che mostra il valore medio del campo per tutti gli eventi. Ma con una clausola by, fornirà più righe a seconda di come il campo è raggruppato dal nuovo campo aggiuntivo.
Nell'esempio seguente, troviamo la dimensione media in byte dei file raggruppati dai vari codici di stato http collegati agli eventi associati a quei file.
Trovare la portata
Il comando stats può essere utilizzato per visualizzare l'intervallo dei valori di un campo numerico utilizzando il rangefunzione. Continuiamo l'esempio precedente ma invece della media, ora usiamo ilmax(), min() e range funzionano insieme nel comando stats in modo da poter vedere come è stato calcolato l'intervallo prendendo la differenza tra i valori delle colonne max e min.
Trovare la media e la varianza
Anche i valori focalizzati statisticamente come la media e la varianza dei campi vengono calcolati in modo simile a quanto indicato sopra utilizzando funzioni appropriate con il comando stats. Nell'esempio seguente, utilizziamo le funzionimean() & var() Per realizzare questo. Continuiamo a utilizzare gli stessi campi mostrati negli esempi precedenti. Il risultato mostra la media e la varianza dei valori del campo denominato byte in righe organizzate dai valori di stato http degli eventi.