케세라세라: Splunk의 stats와 eventstats

2024년 10월 29일 화요일

stats를 이용한 ip별 url 접속 추이.

집계 결과를 다른 필드로 쪼개면? 실패.

데이터셋이 원본에서 중첩된 계산 결과로 바뀌었기 때문에 별도의 집계 분할 기준을 제시할 수 없다.

eventstats를 사용하면?

ip별 url 접속 추이는 똑같다.

집계 분할도 잘 됨.

eventstats는 집계 결과를 기존 이벤트에 추가한다. 원본 데이터셋을 계속 사용할 수 있다는 얘기.

관련 글

Easy to analyze if you are really curious about data