- Splunk 教程
- Splunk - 首頁
- Splunk - 概述
- Splunk - 環境
- Splunk - 介面
- Splunk - 資料攝取
- Splunk - 資料來源型別
- Splunk - 基本搜尋
- Splunk - 欄位搜尋
- Splunk - 時間範圍搜尋
- Splunk - 共享和匯出
- Splunk - 搜尋語言
- Splunk - 搜尋最佳化
- Splunk - 資料轉換命令
- Splunk - 報表
- Splunk - 儀表盤
- Splunk - 透視表和資料集
- Splunk - 查詢
- Splunk - 排程和告警
- Splunk - 知識管理
- Splunk - 子搜尋
- Splunk - 搜尋宏
- Splunk - 事件型別
- Splunk - 基本圖表
- Splunk - 疊加圖表
- Splunk - Sparklines
- Splunk - 管理索引
- Splunk - 計算欄位
- Splunk - 標籤
- Splunk - 應用
- Splunk - 刪除資料
- Splunk - 自定義圖表
- Splunk - 檔案監控
- Splunk - sort 命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用資源
- Splunk - 快速指南
- Splunk - 有用資源
- Splunk - 討論
Splunk - stats 命令
stats 命令用於計算搜尋結果或從索引檢索到的事件的彙總統計資訊。stats 命令作用於整個搜尋結果,並且僅返回您指定的欄位。
每次呼叫 stats 命令時,您可以使用一個或多個函式。但是,您只能使用一個 BY 子句。如果 stats 命令未使用 BY 子句,則只返回一行,即對整個傳入結果集的聚合。如果使用了 BY 子句,則對於 BY 子句中指定的每個不同的值,都會返回一行。
下面我們來看一些常用 stats 命令的示例。
查詢平均值
我們可以使用 **avg()** 函式查詢數值欄位的平均值。此函式以欄位名稱作為輸入。如果沒有 BY 子句,它將給出單個記錄,其中顯示所有事件的欄位的平均值。但是,使用 BY 子句,它將根據新欄位對欄位進行分組的方式返回多行。
在下面的示例中,我們根據與這些檔案關聯的事件關聯的各種 http 狀態程式碼,查詢檔案的平均位元組大小。
查詢範圍
stats 命令可用於透過使用 **range** 函式顯示數值欄位的值範圍。我們繼續前面的示例,但現在不使用平均值,而是將 **max()、min()** 和 **range** 函式一起用於 stats 命令,以便我們可以看到範圍是如何透過獲取 max 和 min 列的值之間的差值來計算的。
查詢均值和方差
欄位的統計重點值(如均值和方差)也以類似的方式計算,如上所述,透過使用適當的函式和 stats 命令。在下面的示例中,我們使用 **mean() & var()** 函式來實現此目的。我們繼續使用前面示例中顯示的相同欄位。結果顯示名為 bytes 的欄位的值的均值和方差,這些值按事件的 http 狀態值組織成行。
廣告