Следующий SPL может использоваться для расчета среднего отклонения всех value с.
| eventstats mean(value) as mean | eval distance=abs(mean-value) | stats avg(distance) as mean_deviation
Например, это сгенерирует 10 случайных значений, а затем вычислит среднее отклонение.
| makeresults count=10 | eval value=random()%10 | eventstats mean(value) as mean | eval distance=abs(mean-value) | stats avg(distance) as mean_deviation
eventstats используется для расчета среднего значения всех значений и добавления этого нового поля к каждому событию. Затем eval disatnace используется для расчета абсолютного расстояния от каждого значения до среднего. Последний stats просто используется для определения среднего значения.
Здесь вы найдете документацию по eventstats https://docs.splunk.com/Documentation/SplunkCloud/latest/SearchReference/Eventstats и хороший пост в блоге о различиях между stats, eventstats и streamstats можно найти в https://www.splunk.com/en_us/blog/tips-and-tricks/search-command-stats-eventstats-and-streamstats-2.html