メインコンテンツまでスキップ
Sumo Logic Japanese

sum

Sum は分析対象の時間範囲内で評価する数値フィールドの値を加算します。

構文

  • sum(<numerical_field>) [as <field>]

ルール

  • 次の名前のフィールドを作成します。 _sum

... | sum(bytes_received) group by hostname

ログ メッセージ例:

Aug 2 04:06:08 : host=10.1.1.124: local/ssl2 notice mcpd[3772]: filesize=20454: diskutilization=0.4 : 01070638:5: Pool member 172.31.51.22:0 monitor status down.

上記ログ メッセージの例に基づいたクエリ例を示します。

file*| parse "filesize=*" as filesize 
| sum (filesize) group _sourceHost

用語 file* を含むメッセージをすべて検索して、filesize=value ペアをすべてパースします。次に filesize の値を抽出して、ログ メッセージが生成されたホストごとにこれらの値をすべて加算します。

複数のフィールドの合計を計算する場合、as オペレータを使用してエイリアスを作成し、合計フィールドの名前を変更する必要があります。次の例を参照してください。

_sourceCategory="OS/Windows"
| kv "HandleCount", "ThreadCount"
| sum(HandleCount) as sumHandleCount, sum(ThreadCount) as sumThreadCount

クエリの同じ行に複数の集計オペレータを使用できます。例:

max(amount) as amount_max, count(datetime) as datetime_count, sum(_size) as messages_size_sum, last(query) as last_query

  • この記事は役に立ちましたか?