Splunk-統計コマンド

statsコマンドは、検索の結果またはインデックスから取得されたイベントの要約統計を計算するために使用されます。 statsコマンドは、検索結果全体に対して機能し、指定したフィールドのみを返します。

statsコマンドを呼び出すたびに、1つ以上の関数を使用できます。 ただし、使用できるBY句は1つだけです。 BY句なしでstatsコマンドを使用すると、1行のみが返されます。これは、着信結果セット全体の集計です。 BY句が使用される場合、BY句で指定された個別の値ごとに1行が返されます。

以下に、頻繁に使用されるstatsコマンドの例を示します。

平均値を見つける

• avg（）*関数を使用して、数値フィールドの平均値を見つけることができます。 この関数は、入力としてフィールド名を取ります。 BY句がない場合、すべてのイベントのフィールドの平均値を示す単一のレコードが提供されます。 ただし、by句を使用すると、フィールドが追加の新しいフィールドによってグループ化される方法に応じて、複数の行が提供されます。

以下の例では、ファイルの平均バイトサイズを、それらのファイルに関連付けられたイベントにリンクされたさまざまなhttpステータスコードでグループ化しています。

Stats1

検出範囲

statsコマンドを使用して、 range 関数を使用して、数値フィールドの値の範囲を表示できます。 前の例を続けますが、平均の代わりに、statsコマンドで* max（）、min（）および *range 関数を一緒に使用して、最大および最小列の値。

Stats2

平均と分散を見つける

フィールドの平均や分散などの統計的に焦点を合わせた値も、statsコマンドで適切な関数を使用して、上記と同様の方法で計算されます。 以下の例では、関数* mean（）およびvar（）*を使用してこれを実現しています。 前の例で示したのと同じフィールドを引き続き使用します。 結果は、イベントのhttpステータス値によって整理された行のbytesという名前のフィールドの値の平均と分散を示します。

Stats3