Блог

Главная - Вопросы по программированию - Как составить гистограмму числовой переменной?

Как составить гистограмму числовой переменной?

#splunk

#splunk

Вопрос:

Я хочу создать простую гистограмму числовой переменной X .

У меня возникли проблемы с поиском четкого примера.

Поскольку важно, чтобы гистограмма была более значимой, чем красивой, я бы предпочел указать размер ячейки, а не позволять инструменту решать. См.: Специалисты по обработке данных: ПРЕКРАТИТЕ случайное объединение гистограмм

Ответ №1:

Гистограммы являются основным инструментом для понимания распределения данных. Таким образом, Splunk автоматически создает гистограмму по умолчанию для необработанных запросов событий. Поэтому само собой разумеется, что Splunk должен предоставить вам инструменты для создания гистограмм ваших собственных переменных, извлеченных из результатов запроса.

Возможно, причина, по которой это трудно найти, заключается в том, что основной ответ очень прост:

 (your query) |rename (your value) as X
|chart count by X span=1.0

Выберите «Визуализация» и задайте тип диаграммы «Столбчатая диаграмма» для традиционной гистограммы с вертикальной полосой.

В документах есть пример этого, описанный как «График количества транзакций по продолжительности».

span Значение используется для управления бинированием данных. Отрегулируйте это значение для оптимизации визуализации.

Предупреждение: допустимо опускать span значение, но если вы это сделаете, ось X будет сжата нелинейно, чтобы исключить пустые ячейки — это может привести к путанице, если вы не будете внимательно следить за метками ячеек (при условии, что они даже нарисованы).

Если у вас распределение с длинным хвостом, может быть полезно разделить результаты, чтобы сосредоточиться на интересующем диапазоне. Это можно сделать с помощью where:

 (your query) |rename (your value) as X
|where X>=0 and X<=100
|chart count by X span=1.0

В качестве альтернативы, используйте функцию зажима для сохранения значений, выходящих за пределы диапазона:

 (your query) |rename (your value) as X
|eval X=max(0,min(X,100))
|chart count by X span=1.0

Другой способ справиться с длинными хвостами — использовать логарифмический span режим — специальные значения для span include log2 и log10 (задокументированы как log-span).

Если вы хотите иметь как не по умолчанию span , так и сжатую ось X, для этого, вероятно, есть параметр, но документация загадочная.

Я обнаружил, что этот двухэтапный подход позволил это сделать:

 (your query) |rename (your value) as X
|bin X span=10.0 as X
|chart count by X

Опять же, этот тип диаграммы может быть опасно вводящим в заблуждение, если вы не обращаете пристального внимания на метки.