Splunk - Comando de estadísticas
El comando stats se utiliza para calcular estadísticas resumidas sobre los resultados de una búsqueda o los eventos recuperados de un índice. El comando stats funciona con los resultados de la búsqueda en su conjunto y solo devuelve los campos que especifique.
Cada vez que invocas el comando stats, puedes usar una o más funciones. Sin embargo, solo puede usar una cláusula BY. Si el comando stats se usa sin una cláusula BY, solo se devuelve una fila, que es la agregación de todo el conjunto de resultados de entrada. Si se utiliza una cláusula BY, se devuelve una fila por cada valor distinto especificado en la cláusula BY.
A continuación, vemos los ejemplos de algunos comandos de estadísticas de uso frecuente.
Hallar el promedio
Podemos encontrar el valor promedio de un campo numérico usando el avg()función. Esta función toma el nombre del campo como entrada. Sin una cláusula BY, dará un solo registro que muestra el valor promedio del campo para todos los eventos. Pero con una cláusula by, dará varias filas dependiendo de cómo el campo esté agrupado por el nuevo campo adicional.
En el siguiente ejemplo, encontramos el tamaño de bytes promedio de los archivos agrupados por los diversos códigos de estado http vinculados a los eventos asociados con esos archivos.
Encontrar rango
El comando stats se puede usar para mostrar el rango de los valores de un campo numérico usando el rangefunción. Continuamos con el ejemplo anterior pero en lugar de promedio, ahora usamos elmax(), min() y range funcionan juntos en el comando stats para que podamos ver cómo se ha calculado el rango tomando la diferencia entre los valores de las columnas max y min.
Encontrar la media y la varianza
Los valores enfocados estadísticamente, como la media y la varianza de los campos, también se calculan de manera similar a la indicada anteriormente mediante el uso de funciones apropiadas con el comando stats. En el siguiente ejemplo, usamos las funcionesmean() & var() lograr esto. Seguimos usando los mismos campos que se muestran en los ejemplos anteriores. El resultado muestra la media y la varianza de los valores del campo denominado bytes en filas organizadas por los valores de estado http de los eventos.
