Splunk - comando de estatísticas
O comando stats é usado para calcular estatísticas resumidas sobre os resultados de uma pesquisa ou os eventos recuperados de um índice. O comando stats funciona nos resultados da pesquisa como um todo e retorna apenas os campos que você especificar.
Cada vez que você invoca o comando stats, você pode usar uma ou mais funções. No entanto, você só pode usar uma cláusula BY. Se o comando stats for usado sem uma cláusula BY, apenas uma linha será retornada, que é a agregação de todo o conjunto de resultados de entrada. Se uma cláusula BY for usada, uma linha será retornada para cada valor distinto especificado na cláusula BY.
Abaixo, vemos os exemplos de alguns comandos de estatísticas usados com frequência.
Encontrando a média
Podemos encontrar o valor médio de um campo numérico usando o avg()função. Esta função usa o nome do campo como entrada. Sem uma cláusula BY, ele fornecerá um único registro que mostra o valor médio do campo para todos os eventos. Mas com uma cláusula by, ele fornecerá várias linhas, dependendo de como o campo é agrupado pelo novo campo adicional.
No exemplo a seguir, encontramos o tamanho médio em bytes dos arquivos agrupados pelos vários códigos de status http vinculados aos eventos associados a esses arquivos.
Alcance
O comando stats pode ser usado para exibir o intervalo dos valores de um campo numérico usando o rangefunção. Continuamos o exemplo anterior, mas em vez da média, agora usamos omax(), min() e range funcionam juntos no comando de estatísticas para que possamos ver como o intervalo foi calculado tomando a diferença entre os valores das colunas máx. e mín.
Encontrando Média e Variância
Os valores focados estatisticamente, como a média e a variância dos campos, também são calculados de maneira semelhante à fornecida acima, usando funções apropriadas com o comando stats. No exemplo abaixo, usamos as funçõesmean() & var() Para alcançar isto. Continuamos usando os mesmos campos mostrados nos exemplos anteriores. O resultado mostra a média e a variância dos valores do campo denominado bytes em linhas organizadas pelos valores de status http dos eventos.
