Splunk stats, strcat 和 table 命令

在本节中，我们将学习 Splunk Stats, strcat 和 table 命令。我们还将解释它们之间的区别。

stats 命令

Splunk stats 命令计算结果集上的聚合统计信息，例如平均值、计数和总和。它类似于 SQL 的分组。 如果 stats 命令在没有 BY 子句的情况下使用，它只返回一行，这是对整个传入结果集合的聚合。 将 stats 命令与 BY 子句一起使用会为 BY 子句中定义的每个不同值返回一行。

stats 命令可用于类似于 SQL 的多种操作。 如果您了解 SQL 但不熟悉 SPL，请参阅面向 SQL 用户的 Splunk SPL。

stats 和 eval 命令之间的区别

Stats 命令基于字段测量事件中的统计信息。 eval 命令使用现有字段和一个可选的表达式来在您的事件中构造新字段。

语法

必需参数

stats-agg-term

语法

Splunk strcat 命令

Splunk strcat 命令连接来自 2 个或更多字段的字符串值。它将字符串值和字面量组合在一起以创建一个新字段。 在 strcat 命令的末尾，指定目标字段的名称。

语法

必需参数

<dest-field>

语法

描述：由参数 < source-fields > 定义的目标字段，用于将连接的字符串值保存到其中。 目标区域通常位于源区域字符串的末尾。

<source-fields>

语法

描述：指定要连接的字符串的字段名称和字面值。 字面意思应该用引号表示。

quoted-str

语法

描述：带引号的字符串字面量。

示例： "/" 或 ":"

streamstats

描述：跨所有搜索结果以流式方式添加组合的摘要信息。 streamstats 命令在显示时测量每个案例的统计信息。 例如，对于给定的字段，您可以测量运行总计。 对于已处理的每个事件（直到当前事件），使用给定字段中的值计算总计。

命令语法

必需参数

stats-agg-term

语法

描述：这是一种统计聚合方法。 该函数可以扩展到 eval 表达式，或者扩展到字段或字段集。 使用 AS 子句将结果放入具有您指定名称的新字段中。 通配符可以用于字段名称。

Table 命令

table 命令返回一个仅由您在参数中列出的字段组成的表。 列以与字段中指定的相同顺序显示。 列标题是字段的名称。 行是字段的属性。 该行象征一个案例。

table 命令类似于 fields 命令，因为它允许您定义要在测试中保留的 fields。 当您想要以表格格式维护数据时，请使用 table 命令。

除了散点图之外，您不应将 table 命令用于图表，以显示数据离散值之间关系的趋势。

语法

参数

<wc-field-list>

语法

描述：区域名称列表。 通配符可以用于字段名称。

用途

Table 命令是一个转换命令。 有关更多信息，请参见命令类型教程。

可视化

除了散点图之外，您不能使用可视化表格顺序。 Splunk Web 要求通过内部字段来制作可视化效果，这些字段是以下划线字符开头的字段。 默认情况下，table 命令会从结果中删除这些字段。 或者，您可以使用 fields 命令来创建可视化效果。

fields 命令仍然维护所有内部字段。

命令类型

table 命令是一个非流式系统。 如果您遵循类似于表格的流式接口，请使用 fields 接口。

字段重命名

table 命令不允许您重命名字段，只需定义要在表格结果中显示的字段。 如果必须重命名扇区，请在将结果通过管道传输到 the table 之前执行此操作。

截断的结果

table 命令根据设置，根据 limits.conf 文件中的设置截断返回的结果数。 如果 [search] 节中参数 truncate_report 的值为 1，则返回的结果数将被截断。

在 [search] 节中，结果数量由参数 max_count 控制。 如果 truncate report 设置为 0，则不会添加参数 max_count。