摘要索引'psrsvd'字段代表什么?

时间:2011-11-29 16:05:57

标签: splunk

Splunk中的摘要索引会产生大量的psrsvd_ *字段。他们代表什么?我认为它们是缩写词或缩写词。下面是一些平均每个客户端IP返回的字节数的示例,如apache所记录的那样(即sistats avg(bytes) by clientip):

  • psrsvd_ct_bytes
  • psrsvd_gc
  • psrsvd_nc_bytes
  • psrsvd_sm_bytes
  • psrsvd_ss_bytes
  • psrsvd_v
  • psrsvd_vt_bytes

2 个答案:

答案 0 :(得分:4)

这些字段是使用si *版本的报告命令的工件。这些字段是专门命名的,因此在从摘要索引中检索时,报告命令(图表/时间图/统计信息)可以正确解码信息。

psrsvd代表“prestats reserved”

一般模式是psrsvd_ [type] _ [fieldname],尽管某些类型没有作用于某个字段

ct = count
gc = group count (the count for a stats "grouping", not scoped to a field)
nc = numerical count (number of numerical values)
sm = sum
ss = sum of squares
v = version (not scoped to a field)
vt = value type (contains the precision of this field)

例如,名为“foobar”的字段的计数存储为psrsvd_ct_foobar。

答案 1 :(得分:0)

这是一个更新的列表,现在已在Splunk docs中高亮显示:

  • ct = count
  • gc =小组计数(统计数据的计数"分组,"不限于单个字段。
  • nc =数值计数(数值的数量)
  • nn =最小数值
  • nx =最大数值
  • rd =值的rdigest(值a它们出现的次数)
  • sm = sum
  • sn =最低词典值
  • ss =平方和
  • sx =最大词典值
  • v =版本(不限于单个字段)
  • vm =值映射(字段的所有不同值及其出现的次数)
  • vt =值类型(包含关联字段的精度)
相关问题
最新问题