1
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

streamstatsを使う前には_timeでソートしておく

Posted at

ネットワークインターフェースやブロックデバイスの使用状況を計算する時などで、「一つ前のイベントとの差」を取得したい時がある。

その場合、streamstatsを使うのが定石である:

| streamstats current=false last(value1) as last_value1 | eval diff=value1-last_value1

が、実はSplunkでは、 検索対象となっているイベントが時間でソートされていることは保証されない ので、場合によっては、上記のクエリでは期待した差分を取れないことがある。

なので、streamstatsを使う前には_timeなどで明示的にソートしておくと:

| sort _time | streamstats current=f last(value1) as last_value1 | eval ...

常に期待した差分をとることができる。

1
3
1

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?