Splunk 平均查询
Splunk Avg Query
我正在使用 API 消耗一些数据,我想计算我所有客户花费的平均时间,每次摄取后(特定客户消耗的数据),我为此打印一个时间矩阵客户。
timechart span=24h avg(total_time)
现在要计算平均值,我不能简单地提取时间字段并执行 avg(total_time),因为如果客户 A 在 1 小时内完成摄取,而客户 B 需要 24 小时,客户 A 将被记录 24 次并且B 将被记录一次,给我不准确的结果并降低平均值。
我如何创建一个过滤器假设持续时间是 7 天,所以我只获得特定客户的那些日志行,这些日志行在 7 天的时间段内具有最大值 total_time。即每个客户一个日志行在 7 天的时间段内对于该特定客户最多 total_time。
| bin _time 跨度=24h
| stats max(total_time) as max_time by _time customer
| timechart span=24h avg(max_time) 作为平均值
我正在使用 API 消耗一些数据,我想计算我所有客户花费的平均时间,每次摄取后(特定客户消耗的数据),我为此打印一个时间矩阵客户。
timechart span=24h avg(total_time)
现在要计算平均值,我不能简单地提取时间字段并执行 avg(total_time),因为如果客户 A 在 1 小时内完成摄取,而客户 B 需要 24 小时,客户 A 将被记录 24 次并且B 将被记录一次,给我不准确的结果并降低平均值。
我如何创建一个过滤器假设持续时间是 7 天,所以我只获得特定客户的那些日志行,这些日志行在 7 天的时间段内具有最大值 total_time。即每个客户一个日志行在 7 天的时间段内对于该特定客户最多 total_time。
| bin _time 跨度=24h | stats max(total_time) as max_time by _time customer | timechart span=24h avg(max_time) 作为平均值