Splunk - Statistik Befehl
Mit dem Befehl stats werden zusammenfassende Statistiken zu den Ergebnissen einer Suche oder den aus einem Index abgerufenen Ereignissen berechnet. Der Befehl stats wirkt sich auf die Suchergebnisse insgesamt aus und gibt nur die von Ihnen angegebenen Felder zurück.
Jedes Mal, wenn Sie den Befehl stats aufrufen, können Sie eine oder mehrere Funktionen verwenden. Sie können jedoch nur eine BY-Klausel verwenden. Wenn der Befehl stats ohne BY-Klausel verwendet wird, wird nur eine Zeile zurückgegeben. Dies ist die Aggregation über die gesamte eingehende Ergebnismenge. Wenn eine BY-Klausel verwendet wird, wird für jeden in der BY-Klausel angegebenen Wert eine Zeile zurückgegeben.
Unten sehen wir die Beispiele für einige häufig verwendete Statistiken.
Durchschnitt finden
Wir können den Durchschnittswert eines numerischen Feldes mithilfe von ermitteln avg()Funktion. Diese Funktion verwendet den Feldnamen als Eingabe. Ohne eine BY-Klausel wird ein einzelner Datensatz ausgegeben, der den Durchschnittswert des Felds für alle Ereignisse anzeigt. Mit einer by-Klausel werden jedoch mehrere Zeilen angegeben, je nachdem, wie das Feld nach dem zusätzlichen neuen Feld gruppiert ist.
Im folgenden Beispiel finden Sie die durchschnittliche Bytegröße der Dateien, gruppiert nach den verschiedenen http-Statuscodes, die mit den mit diesen Dateien verknüpften Ereignissen verknüpft sind.
Reichweite finden
Mit dem Befehl stats können Sie den Wertebereich eines numerischen Felds mithilfe von anzeigen rangeFunktion. Wir setzen das vorherige Beispiel fort, aber anstelle des Durchschnitts verwenden wir jetzt dasmax(), min() und range Funktionieren Sie im Befehl stats zusammen, damit wir sehen können, wie der Bereich berechnet wurde, indem wir die Differenz zwischen den Werten der Spalten max und min nehmen.
Mittelwert und Varianz finden
Statistisch fokussierte Werte wie der Mittelwert und die Varianz von Feldern werden ebenfalls auf ähnliche Weise wie oben angegeben berechnet, indem geeignete Funktionen mit dem Befehl stats verwendet werden. Im folgenden Beispiel verwenden wir die Funktionenmean() & var() um das zu erreichen. Wir verwenden weiterhin dieselben Felder wie in den vorherigen Beispielen. Das Ergebnis zeigt den Mittelwert und die Varianz der Werte des Felds mit dem Namen bytes in Zeilen, die nach den http-Statuswerten der Ereignisse organisiert sind.