Splunk - Lệnh thống kê
Lệnh thống kê được sử dụng để tính toán thống kê tóm tắt về kết quả của một tìm kiếm hoặc các sự kiện được truy xuất từ một chỉ mục. Lệnh thống kê hoạt động trên toàn bộ kết quả tìm kiếm và chỉ trả về các trường mà bạn chỉ định.
Mỗi lần gọi lệnh thống kê, bạn có thể sử dụng một hoặc nhiều hàm. Tuy nhiên, bạn chỉ có thể sử dụng một mệnh đề BY. Nếu lệnh thống kê được sử dụng mà không có mệnh đề BY, chỉ một hàng được trả về, là tổng hợp của toàn bộ tập kết quả đến. Nếu mệnh đề BY được sử dụng, một hàng được trả về cho mỗi giá trị riêng biệt được chỉ định trong mệnh đề BY.
Dưới đây, chúng tôi xem các ví dụ về một số lệnh thống kê thường được sử dụng.
Tìm trung bình
Chúng ta có thể tìm giá trị trung bình của một trường số bằng cách sử dụng avg()chức năng. Hàm này lấy tên trường làm đầu vào. Nếu không có mệnh đề BY, nó sẽ cung cấp một bản ghi duy nhất hiển thị giá trị trung bình của trường cho tất cả các sự kiện. Nhưng với mệnh đề by, nó sẽ cung cấp nhiều hàng tùy thuộc vào cách trường được nhóm bởi trường mới bổ sung.
Trong ví dụ dưới đây, chúng tôi tìm thấy kích thước byte trung bình của các tệp được nhóm theo mã trạng thái http khác nhau được liên kết với các sự kiện được liên kết với các tệp đó.
Phạm vi tìm kiếm
Lệnh thống kê có thể được sử dụng để hiển thị phạm vi giá trị của trường số bằng cách sử dụng rangechức năng. Chúng tôi tiếp tục ví dụ trước nhưng thay vì trung bình, bây giờ chúng tôi sử dụngmax(), min() và range hàm cùng nhau trong lệnh thống kê để chúng ta có thể xem phạm vi đã được tính toán như thế nào bằng cách lấy sự khác biệt giữa các giá trị của cột max và min.
Tìm ý nghĩa và phương sai
Các giá trị tập trung về mặt thống kê như giá trị trung bình và phương sai của các trường cũng được tính theo cách tương tự như đã cho ở trên bằng cách sử dụng các hàm thích hợp với lệnh thống kê. Trong ví dụ dưới đây, chúng tôi sử dụng các hàmmean() & var() để đạt được điều này. Chúng tôi tiếp tục sử dụng các trường tương tự như được hiển thị trong các ví dụ trước. Kết quả cho thấy giá trị trung bình và phương sai của các giá trị của trường có tên byte trong các hàng được tổ chức theo giá trị trạng thái http của các sự kiện.