У меня есть список значений в Splunk. Я могу использовать этот список для вычисления avg(vals) и stdev(vals). Как рассчитать среднее отклонение.
Среднее отклонение — это средняя абсолютная разница между средним значением и каждым значением в списке.
(Sum_x |mean-x|) / N
Следующий SPL можно использовать для расчета среднего отклонения всех values.
| eventstats mean(value) as mean | eval distance=abs(mean-value) | stats avg(distance) as mean_deviation
Например, это сгенерирует 10 случайных значений, а затем рассчитает среднее отклонение.
| makeresults count=10 | eval value=random()%10 | eventstats mean(value) as mean | eval distance=abs(mean-value) | stats avg(distance) as mean_deviation
eventstats используется для вычисления среднего значения всех значений и добавления этого нового поля к каждому событию. Затем eval disatnace используется для расчета абсолютного расстояния от среднего значения до каждого значения. Конечный stats просто используется для определения среднего значения этого значения.
Посмотрите здесь документацию по eventstats https://docs.splunk.com/Documentation/SplunkCloud/latest/SearchReference/Eventstats, а хороший пост в блоге о различиях между stats, eventstats и streamstats можно найти по адресу https://www.splunk.com/en_us/blog/tips.-and-tricks/search-command-stats-eventstats-and-streamstats-2.html
