我有一个Splunk值列表。我可以使用此列表计算avg(vals)和stdev(vals)。如何计算平均偏差。
平均偏差是列表中的平均值和每个值之间的平均绝对差。
(Sum_x |mean-x|) / N
答案 0 :(得分:1)
以下SPL可用于计算所有value的平均偏差。
| eventstats mean(value) as mean | eval distance=abs(mean-value) | stats avg(distance) as mean_deviation
例如,这将生成10个随机值,然后计算平均偏差。
| makeresults count=10 | eval value=random()%10 | eventstats mean(value) as mean | eval distance=abs(mean-value) | stats avg(distance) as mean_deviation
eventstats用于计算所有值的平均值,并将此新字段添加到每个事件中。然后,eval disatnace用于计算每个值与平均值的绝对距离。最后的stats仅用于确定该值的平均值。
在此处查找有关eventstats https://docs.splunk.com/Documentation/SplunkCloud/latest/SearchReference/Eventstats的文档,有关stats,eventstats和streamstats之间差异的博客文章可以在{ {3}}