Splunk - คำสั่งสถิติ

คำสั่ง stats ใช้เพื่อคำนวณสถิติสรุปผลการค้นหาหรือเหตุการณ์ที่ดึงมาจากดัชนี คำสั่ง stats ทำงานกับผลลัพธ์การค้นหาโดยรวมและส่งคืนเฉพาะฟิลด์ที่คุณระบุ

ทุกครั้งที่คุณเรียกใช้คำสั่ง stats คุณสามารถใช้ฟังก์ชันได้ตั้งแต่หนึ่งฟังก์ชันขึ้นไป อย่างไรก็ตามคุณสามารถใช้ BY ประโยคเดียวเท่านั้น หากใช้คำสั่ง stats โดยไม่มีคำสั่ง BY ระบบจะส่งคืนเพียงแถวเดียวซึ่งเป็นการรวมในชุดผลลัพธ์ขาเข้าทั้งหมด หากใช้คำสั่ง BY ระบบจะส่งคืนหนึ่งแถวสำหรับค่าที่แตกต่างกันแต่ละค่าที่ระบุในคำสั่ง BY

ด้านล่างนี้เราจะเห็นตัวอย่างของคำสั่งสถิติที่ใช้บ่อย

การหาค่าเฉลี่ย

เราสามารถหาค่าเฉลี่ยของฟิลด์ตัวเลขได้โดยใช้ avg()ฟังก์ชัน ฟังก์ชันนี้ใช้ชื่อฟิลด์เป็นอินพุต หากไม่มีคำสั่ง BY จะให้ระเบียนเดียวซึ่งแสดงค่าเฉลี่ยของฟิลด์สำหรับเหตุการณ์ทั้งหมด แต่ด้วยคำสั่ง by clause จะมีหลายแถวขึ้นอยู่กับว่าเขตข้อมูลถูกจัดกลุ่มตามเขตข้อมูลใหม่เพิ่มเติมอย่างไร

ในตัวอย่างด้านล่างเราพบขนาดไบต์เฉลี่ยของไฟล์ที่จัดกลุ่มตามรหัสสถานะ http ต่างๆที่เชื่อมโยงกับเหตุการณ์ที่เกี่ยวข้องกับไฟล์เหล่านั้น

การค้นหาช่วง

คำสั่ง stats สามารถใช้เพื่อแสดงช่วงของค่าของฟิลด์ตัวเลขโดยใช้ rangeฟังก์ชัน เราทำต่อตัวอย่างก่อนหน้านี้ แต่แทนที่จะเป็นค่าเฉลี่ยตอนนี้เราใช้ไฟล์max(), min() และ range ทำงานร่วมกันในคำสั่ง stats เพื่อให้เราสามารถดูว่ามีการคำนวณช่วงอย่างไรโดยใช้ความแตกต่างระหว่างค่าของคอลัมน์สูงสุดและต่ำสุด

การหาค่าเฉลี่ยและความแปรปรวน

ค่าที่เน้นทางสถิติเช่นค่าเฉลี่ยและความแปรปรวนของฟิลด์จะถูกคำนวณในลักษณะที่คล้ายกันดังที่ระบุไว้ข้างต้นโดยใช้ฟังก์ชันที่เหมาะสมกับคำสั่ง stats ในตัวอย่างด้านล่างเราใช้ฟังก์ชันmean() & var() เพื่อให้บรรลุเป้าหมายนี้ เรายังคงใช้ฟิลด์เดิมตามที่แสดงในตัวอย่างก่อนหน้านี้ ผลลัพธ์จะแสดงค่าเฉลี่ยและความแปรปรวนของค่าของเขตข้อมูลที่ชื่อไบต์ในแถวที่จัดเรียงโดยค่าสถานะ http ของเหตุการณ์