Kontrybutorzy w programie GitHub: Edytuj w trybie z połączeniem hll () (funkcja agregacyjna)
Funkcja hll() jest sposobem na oszacowanie liczby unikalnych wartości w zestawie wartości. W tym celu należy obliczać pośrednie wyniki dla agregacji w ramach operatora summarize dla grupy danych za pomocą funkcji dcount .
Zapoznaj się z algorytmem bazowym (HyperLogLog) i dokładnością estymacji.
Patrz data-explorer-agg-function-summarize-note
Funkcja hll_merge służy do scalania wyników wielu funkcji produktu hll() . Funkcja dcount_hll służy do obliczania liczby odrębnych wartości na podstawie danych wyjściowych funkcji hll() lub hll_merge .
Składnia
hll (expr [, dokładność])
Parametry
| Nazwa | Typ | Wymagane | Opis |
|---|---|---|---|
| wyrażenie | łańcuch | ✓ | Wyrażenie używane do obliczenia agregacji. |
| Dokładność | liczba całkowita | Wartość, która kontroluje równowagę między szybkością i dokładnością. Jeśli ta wartość nie zostanie określona, wartością domyślną jest 1. Informacje na temat obsługiwanych wartości zawiera sekcja Dokładność szacowania. |
Zwraca
Zwraca pośrednie wyniki różnych wartości expr w grupie.
Przykład
W poniższym przykładzie funkcja hll() jest używana do oszacowania liczby unikalnych wartości źródła danych kolumny data_source_name w każdym 10-minutowym przedziale czasu w kolumnie original_time .
events
print hll(data_source_name) by bin(original_time,10m)
| take 1
Wyświetlana tabela wyników zawiera tylko pierwszy wiersz 1
Wyniki
| Czas_początkowy | nazwa_źródła_danych | data_source_type_name | nazwa | USER_ID | Low_poziom_kategorii | src_ip | src_port | dst_ip | dst_port | istotność | event_uuid | Ładunek |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1682461679682 | microsoftWindowsSource6 | Dziennik zdarzeń zabezpieczeń systemu Microsoft Windows | Tworzenie procesu | [ 8110] | 0.0.0.0 | 0.0.0.0 | 2 | 2b02dd50-241e-41cf-9257-1febd36c0140 | <13>Feb 10 13:53:35 microsoftWindowsSource6 AgentDevice=WindowsLog AgentLogFile=Microsoft-Windows-Sysmon/Operational ... |