Команда stats используется для вычисления сводной статистики по результатам поиска или событиям, извлеченным из индекса. Команда stats работает с результатами поиска в целом и возвращает только те поля, которые вы указали.
Каждый раз, когда вы вызываете команду stats, вы можете использовать одну или несколько функций. Однако вы можете использовать только одно предложение BY. Если команда stats используется без предложения BY, возвращается только одна строка, которая является агрегацией по всему входящему набору результатов. Если используется предложение BY, возвращается одна строка для каждого отдельного значения, указанного в предложении BY.
Ниже мы видим примеры некоторых часто используемых команд stats.
Нахождение среднего
Мы можем найти среднее значение числового поля с помощью функции avg () . Эта функция принимает имя поля в качестве ввода. Без предложения BY он выдаст одну запись, которая показывает среднее значение поля для всех событий. Но с предложением by это даст несколько строк в зависимости от того, как поле сгруппировано по дополнительному новому полю.
В приведенном ниже примере мы находим средний размер в байтах файлов, сгруппированных по различным кодам состояния http, связанным с событиями, связанными с этими файлами.
Диапазон поиска
Команда stats может использоваться для отображения диапазона значений числового поля с помощью функции range . Мы продолжаем предыдущий пример, но вместо усреднения мы теперь используем вместе функции max (), min () и range в команде stats, чтобы мы могли увидеть, как был рассчитан диапазон, взяв разницу между значениями max и мин столбцы.
Нахождение среднего значения и дисперсии
Статистически сфокусированные значения, такие как среднее значение и дисперсия полей, также рассчитываются аналогичным образом, как указано выше, с использованием соответствующих функций с командой stats. В приведенном ниже примере мы используем функции mean () и var () для достижения этой цели. Мы продолжаем использовать те же поля, что и в предыдущих примерах. Результат показывает среднее значение и дисперсию значений поля с именем bytes в строках, организованных по значениям http-статуса событий.