メインコンテンツまでスキップ
Sumo Logic Japanese

rollingstd

rollingstd (移動標準) operator は、定義したウィンドウにおけるフィールドの移動標準偏差を返します。

rollingstd operator は、フィールドの移動標準偏差を探すことで、経時的な変化を特定します。たとえば、rollingstd をクエリで使用することで、Collector アクティビティやサイトの URL におけるスパイクを特定できます。rollingstd を使用することで、過去のデータから平均を計算して、経時的な変化 (増減) を特定できます。

rollingstd operator で正確な結果を取得するには、2 つ以上のデータ ポイントが必要です。1 つのデータ ポイントから移動標準偏差を求めようとすると、結果は自動的に 0 となります。

ウィンドウ長を 5 に指定したのに使用できるデータ ポイントが 4 つしかない場合、rollingstd operator は利用できるデータを活用します。

構文

  • rollingstd <field> [, window_length] [as <field>]

ルール

  • rollingstd のエイリアスは省略可能です。エイリアスを指定しないと、_rollingstd がデフォルトで使用されます。
  • 指定されるフィールドには数値が含まれている必要があります。
  • rollingstd operator を含むクエリをダッシュボードに追加する場合は、rollingstd operator の前に group by 関数を指定する必要があります。
  • デフォルトのウィンドウ長は 10 です。
  • 最大のウィンドウ長は 1000 です。

rollingstd を使用して Source ホストごとにグループ化された時間ポイント間でフィールドの差を確認

次のようなクエリを実行した場合:

_sourcecategory=katta 
| timeslice by 1m 
| count by _timeslice,_sourcehost 
| sort + _timeslice 
| rollingstd _count,1 by _sourcehost

結果は次のようになります。

時間ポイント間での移動標準偏差の特定

rollingstd でタイムスライスを使用して、次のようなクエリを実行すると:

* | parse "bytes: '*'" as bytes 
| timeslice 1m 
| sum(bytes) as bytes by _timeslice 
| sort _timeslice 
| rollingstd bytes, 5

結果は次のようになります。

集計テーブルは次のように面グラフとして表示できます。

ウィンドウ長を 5 に指定したのに使用できるデータ ポイントが 4 つしかない場合

値が 5 つ揃う前に、rollingstd operator は利用できるデータを活用します。例:

_sourcecategory=katta 
| timeslice by 1m 
| count by _timeslice,_sourcehost 
| where _sourcehost="prod-katta-237" 
| sort + _timeslice 
| rollingstd _count,5

結果は次のようになります。

rollingstd は backshift operator と一緒に使用することもあります。

  • この記事は役に立ちましたか?