- Splunk 教程
- Splunk - 主页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 源类型
- Splunk - 基本搜索
- Splunk - 现场搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 转换命令
- Splunk - 报告
- Splunk - 仪表板
- Splunk - 数据透视表和数据集
- Splunk - 查找
- Splunk - 时间表和警报
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 迷你图
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用程序
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 监控文件
- Splunk - 排序命令
- Splunk - 顶级命令
- Splunk - 统计命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用的资源
- Splunk - 讨论
Splunk - 统计命令
stats 命令用于计算搜索结果或从索引检索的事件的摘要统计信息。stats 命令对整个搜索结果起作用,并仅返回您指定的字段。
每次调用 stats 命令时,您都可以使用一个或多个函数。但是,您只能使用一个 BY 子句。如果使用 stats 命令而不使用 BY 子句,则仅返回一行,这是整个传入结果集的聚合。如果使用 BY 子句,则为 BY 子句中指定的每个不同值返回一行。
下面我们将看到一些常用 stats 命令的示例。
寻找平均值
我们可以使用avg()函数求出数值字段的平均值。该函数将字段名称作为输入。如果没有 BY 子句,它将给出一条记录,显示所有事件的字段平均值。但使用 by 子句时,它将根据附加新字段对字段进行分组的方式给出多行。
在下面的示例中,我们找到了按链接到与这些文件关联的事件的各种 http 状态代码分组的文件的平均字节大小。
寻找范围
stats 命令可用于通过使用range函数来显示数字字段的值的范围。我们继续前面的示例,但我们现在在 stats 命令中一起使用max()、min()和range函数,而不是平均值,这样我们就可以通过 max 和 max 值之间的差值来了解如何计算范围。最小列数。
求均值和方差
统计重点值(例如字段的平均值和方差)也可以通过使用适当的函数和 stats 命令以与上面给出的类似的方式计算。在下面的示例中,我们使用函数mean()和var()来实现这一点。我们继续使用前面示例中所示的相同字段。结果显示按事件的 http 状态值组织的行中名为 bytes 的字段值的平均值和方差。
