k2-ornata(個人的「やってみたこと」ブログ)

Splunk SPL で特定の項目の平均値と中間値を求める(statsマクロで max と median)

by

keitsu
in
このエントリーをはてなブックマークに追加
Pocket

stats マクロで avg と median を利用すれば、特定の項目の平均値と中間値を表示させることができます。

SPLの書き方

下記のSPLは、dest_ip(通信先)毎に最大値(max)、最小値(min)、平均値(avg)、中間値(median)を表示させるSPLの例です。
なお、それぞのれ値を求めた後、最大値(max)が多い順番に並べ替え、最大値(max)が多い順に10件表示しています。

sourcetype="fgt_traffic"
| stats max(bytes_in), min(bytes_in) avg(bytes_in), median(bytes_in) by dest_ip
| sort - max(bytes_in)
| head 10

実際に実行するとこうなります。

Splunkでの検索結果

グラフ表示

上記検索を行った後、「視覚エフェクト」を選択すると、結果をグラフ表示することも可能です。

Splunkでの検索結果

参考サイト:

・Splunk: Splunk入門(SPL編 3/6) – よく使用する統計関数11選
https://qiita.com/frozencatpisces/items/360b4a38212fe1876dbc

Related posts:

  1. Splunk SPL で特定の項目の出現回数をカウントする(statsマクロで count)
  2. Splunk SPL で時間(_time)を指定した範囲でグループ化する(bucket, binマクロ)
  3. Splunk SPL で特定のフィールドの出現回数をカウントし、多い順に表示させる方法
  4. Splunk のVirusTotal Addon(vt4splunk)で現在のPCの通信状況を確認してみた

Comments

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA