Splunk常用命令简易说明
1数据示例
tabletime
假如index里有两个字段包括以下结果, 端口号及响应时间
Inter1
responseTime
Inter2
6
Inter3
5
Inter4
7
Inter5
8
Inter6
4
Inter7
9
Inter8
11
Inter9
4
Inter10
7
Inter11
3
Inter12
15
Inter13
9
以下的命令解释都是以以上数据为例子
2Stats,chart,timechart统计类
stats、chart 和  timechart 命令(及其相关的命令  eventstats 和  streamstats)设计为与统计函数结合使。可统计函数
包括:
计数、重复计数、总和 count dc sum
平均值、中值、模式 avg  median  mode
值、最值、范围、百分 min max range perc
标准偏差、差 stdev stdevp  var varp
最早出现、最晚出现 first last
函数
描述
例子
avg(X)
返回多个事件中同一个字段(字段类型为数字)的平均值
Index=aaa|stats avg(responseTime)
取平均值为7.33
c(X) | count(X)
统计同一个字段的个数
Index=aaa|stats count(responseTime)
计数13
dc(X) | distinct_count(X)
统计同一个字段的个数(去重)
Index=aaa|stats dc(responseTime)
去重后计算字段个数为8
list(X)
This function returns the list of all values of the field X as a multi-value entry. The order of the values reflects the order of input events.
Index=aaa|stats list(responseTime)
返回完整的列表
6
5
7
8
4
9
11
4
7
3
15
9
max(X)
返回字段的最大值.
Index=aaa|stats max(responseTime)
返回最大值15
min(X)
返回字段的最小值.
Index=aaa|stats min(responseTime)
返回最小值3
mode(X)
返回特定字段中出现频率最高的值
Index=aaa|stats mode(responseTime)
返回4  出现频率最高
range(X)
返回字段中最大值与最小值之间的差
Index=aaa|stats range(responseTime)
返回12 , 15-3
stdev(X)
取标准差
标准差
组数据每别减组数据平均数的平方,相加起组数据即标准差.平均数3则差计算公式:[(1-3) ^ 2+(2-3) ^ 2+(3-3) ^ 2+(4-3) ^ 2+(5-3) ^ 2]÷ 5
sum(X)
This function returns the sum of the values of the field X.
Index=aaa|stats sum(responseTime)
求和为88
values(X)
This function returns the list of all distinct values of the field X as a multi-value entry. The order of the values is lexicographical.
Index=aaa|stats values(responseTime)
返回列表 ,去重

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。