Splunk SPL tstats 쉽게 이해하기
SPL tstats 관련 Splunk 공식 Document
https://docs.splunk.com/Documentation/Splunk/9.0.0/SearchReference/Tstats
stats 과 tstats 의 차이
- stats:
raw data, 즉 모든 대상에 대해 검색한다. 그러므로 시간이 오래 걸린다. 그 대신 어느 데이터에나 사용할 수 있다. - tstats: 미리 인덱싱된 메타데이터( .tsidx인덱서의 버킷에 있는 파일. 일반 인덱스 데이터, data model 가속화 데이터, tscollect 데이터)에서만 검색한다. 그러므로 매우 빠르게 검색할 수 있다.
tstats 더 유용하게 사용하기
- 데이터 모델 사용: from datamodel=<데이터 모델명> 조건 추가
| tstats count from datamodel=Data_Model: from 절에 데이터 모델을 지정 입력하여 원하는 범위 내에서만 검색할 수 있다.
- 가속화된 데이터 모델에서 사용: summariesonly=t 조건 추가
| tstats summariesonly=t: 가속화되지 않은 데이터 모델은 검색하지 않기 때문에, 원하는 결과를 빠르게 얻을 수 있다.