Splunk 中的摘要索引会产生大量 psrsvd_* 字段。他们代表什么?我认为它们是首字母缩写词或缩写词。以下是平均每个客户端 IP 返回的字节数时的一些示例,由 apache (ie sistats avg(bytes) by clientip) 记录:
- psrsvd_ct_bytes
- psrsvd_gc
- psrsvd_nc_bytes
- psrsvd_sm_bytes
- psrsvd_ss_bytes
- psrsvd_v
- psrsvd_vt_bytes
问问题
3597 次
2 回答
4
这些字段是使用 si* 版本的报告命令的产物。这些字段经过特殊命名,以便在从汇总索引中检索时,报告命令(图表/时间图/统计)可以正确解码信息。
psrsvd 代表“prestats 保留”
一般模式是 psrsvd_[type]_[fieldname],尽管某些类型的范围不限于字段
ct = count
gc = group count (the count for a stats "grouping", not scoped to a field)
nc = numerical count (number of numerical values)
sm = sum
ss = sum of squares
v = version (not scoped to a field)
vt = value type (contains the precision of this field)
例如,名为“foobar”的字段的计数存储为 psrsvd_ct_foobar。
于 2011-11-29T19:32:39.723 回答
1
这是一个更新的列表,现在在 Splunk文档中得到了高度评价:
- ct = 计数
- gc = group count(统计“分组”的计数,不限于单个字段。
- nc = 数值计数(数值的个数)
- nn = 最小数值
- nx = 最大数值
- rd = rdigest of values(值出现的次数)
- sm = 总和
- sn = 最小字典值
- ss = 平方和
- sx = 最大字典值
- v = 版本(不限于单个字段)
- vm = 值映射(字段的所有不同值以及它们出现的次数)
- vt = 值类型(包含关联字段的精度)
于 2018-03-28T16:46:45.663 回答