Splunk 统计命令

stats 命令用于计算搜索结果或从索引中检索到的事件的汇总统计信息。 stats 命令对整个搜索结果起作用，并且仅返回你指定的字段。

每次调用 stats 命令时，都可以使用一个或多个函数。但是，你只能使用一个 BY 子句。如果在没有 BY 子句的情况下使用 stats 命令，则只返回一行，这是整个传入结果集的聚合。如果使用 BY 子句，则为 BY 子句中指定的每个不同值返回一行。

下面我们看一些常用的 stats 命令的示例。

寻找平均值

我们可以通过使用 avg() 功能。此函数将字段名称作为输入。如果没有 BY 子句，它将给出一条记录，显示所有事件的字段平均值。但是使用 by 子句，它将根据字段按附加新字段分组的方式给出多行。

在下面的示例中，我们找到了由链接到与这些文件关联的事件的各种 http 状态代码分组的文件的平均字节大小。

寻找范围

stats 命令可用于显示数字字段的值的范围，方法是使用 range 功能。我们继续前面的例子，但我们现在使用的是平均值而不是平均值 最大值()，最小值() and range 在 stats 命令中一起使用函数，以便我们可以通过获取 max 和 min 列的值之间的差异来查看范围是如何计算的。

寻找均值和方差

通过使用带有 stats 命令的适当函数，还可以以与上面给出的类似方式计算字段的均值和方差等统计集中值。在下面的示例中，我们使用函数 均值()和变量() 为达到这个。我们继续使用前面示例中所示的相同字段。结果显示由事件的 http 状态值组织的行中名为 bytes 的字段的值的均值和方差。