splunk에서 자주쓰이는 명령어 중 하나인 addtotals와 addcoltotals의 차이점에 대해서 설명하겠다.
매우 쉽다.
동영상을 보고 정리했다.
1. addcoltotals
컬럼 별 합계의 결과를 나타내어 주는명령어이다.
index=main
| table products,quarter,sales,quota
| addcoltotals이러한 명령어를 실행하게 되면 결과는 다음과 같다.
맨 마지막 row에 slaes, quota의 합계 결과를 확인할 수 있다. 기본적으로 number 타입의 필드에만 적용된다.
옵션은 labelfield, label이 있다. 합계 필드의 필드 명, 필드 명을 기재할 필드를 지정해준다.
그리고, total 을 적용할 컬럼 필드를 별도로 옵션 뒤에 지정해 줄 수도 있다.
2. addtotals
addtotals는 기본적으로 row의 합계를 나타내어 준다. 이것이 가장 큰 차이점이다. 하지만 옵션을 통해서 컬럼의 합계를 추출할 수도 있고 row의 합계를 추출할 수도 있다.
결론적으로 addtotals가 더 유용해 보인다. 하지만 명시적으로 col의 합계, row의 합계를 사용했다고 나타내어주기 위해 별도로 사용하기도 한다.
index=main
| table products,quarter,sales,quota
| addtotals fieldname=sid col=true labelfield=quarter label=total sales quotafieldname 옵션은 row합계를 적용한 필드의 네임을 별도로 설정해준다. 사용하지 않을 경우 그냥 Total 필드가 나오게 된다.
col=True옵션은, 컬럼 합계를 사용할지 여부이다. true로 하게 되면 1에서 봤던 결과가 동일하게 나온다.
