Splunk-統計コマンド
statsコマンドは、検索結果またはインデックスから取得されたイベントの要約統計量を計算するために使用されます。statsコマンドは、検索結果全体に対して機能し、指定したフィールドのみを返します。
statsコマンドを呼び出すたびに、1つ以上の関数を使用できます。ただし、使用できるBY句は1つだけです。BY句を指定せずにstatsコマンドを使用すると、1行のみが返されます。これは、受信結果セット全体の集計です。BY句が使用されている場合、BY句で指定された個別の値ごとに1つの行が返されます。
以下に、頻繁に使用されるいくつかのstatsコマンドの例を示します。
平均を見つける
を使用して数値フィールドの平均値を見つけることができます avg()関数。この関数は、フィールド名を入力として受け取ります。BY句がないと、すべてのイベントのフィールドの平均値を示す単一のレコードが得られます。ただし、by句を使用すると、追加の新しいフィールドによってフィールドがどのようにグループ化されるかに応じて、複数の行が提供されます。
以下の例では、それらのファイルに関連付けられたイベントにリンクされたさまざまなhttpステータスコードによってグループ化されたファイルの平均バイトサイズを見つけます。
範囲の検索
statsコマンドを使用すると、数値フィールドの値の範囲を表示できます。 range関数。前の例を続けますが、平均の代わりに、max(), min() そして range statsコマンドで一緒に機能するため、max列とmin列の値の差をとることで、範囲がどのように計算されたかを確認できます。
平均と分散を見つける
フィールドの平均や分散などの統計的に焦点を合わせた値も、statsコマンドで適切な関数を使用して、上記と同様の方法で計算されます。以下の例では、関数を使用しますmean() & var() これを達成するために。前の例で示したのと同じフィールドを引き続き使用します。結果は、イベントのhttpステータス値で編成された行のbytesという名前のフィールドの値の平均と分散を示しています。