Splunk - Commande Statistiques
La commande stats permet de calculer des statistiques récapitulatives sur les résultats d'une recherche ou les événements extraits d'un index. La commande stats fonctionne sur les résultats de la recherche dans leur ensemble et ne renvoie que les champs que vous spécifiez.
Chaque fois que vous appelez la commande stats, vous pouvez utiliser une ou plusieurs fonctions. Cependant, vous ne pouvez utiliser qu'une seule clause BY. Si la commande stats est utilisée sans clause BY, une seule ligne est renvoyée, qui correspond à l'agrégation de l'ensemble du jeu de résultats entrant. Si une clause BY est utilisée, une ligne est renvoyée pour chaque valeur distincte spécifiée dans la clause BY.
Ci-dessous, nous voyons les exemples de certaines commandes stats fréquemment utilisées.
Recherche de la moyenne
Nous pouvons trouver la valeur moyenne d'un champ numérique en utilisant le avg()fonction. Cette fonction prend le nom du champ comme entrée. Sans clause BY, il donnera un seul enregistrement qui montre la valeur moyenne du champ pour tous les événements. Mais avec une clause by, cela donnera plusieurs lignes en fonction de la façon dont le champ est groupé par le nouveau champ supplémentaire.
Dans l'exemple ci-dessous, nous trouvons la taille moyenne en octets des fichiers regroupés par les différents codes d'état http liés aux événements associés à ces fichiers.
Trouver la plage
La commande stats peut être utilisée pour afficher la plage des valeurs d'un champ numérique en utilisant le rangefonction. Nous continuons l'exemple précédent mais au lieu de la moyenne, nous utilisons maintenant lemax(), min() et range fonctionnent ensemble dans la commande stats afin que nous puissions voir comment la plage a été calculée en prenant la différence entre les valeurs des colonnes max et min.
Recherche de la moyenne et de la variance
Les valeurs statistiquement focalisées comme la moyenne et la variance des champs sont également calculées de la même manière que celle donnée ci-dessus en utilisant les fonctions appropriées avec la commande stats. Dans l'exemple ci-dessous, nous utilisons les fonctionsmean() & var() pour y parvenir. Nous continuons à utiliser les mêmes champs que ceux indiqués dans les exemples précédents. Le résultat montre la moyenne et la variance des valeurs du champ nommé octets dans des lignes organisées par les valeurs d'état http des événements.
