Contribute in GitHub:

hll () (Aggregationsfunktion)

Mit der Funktion hll() können Sie die Anzahl der eindeutigen Werte in einer Gruppe von Werten schätzen. Dazu werden Zwischenergebnisse für die Aggregation im Operator summarize für eine Datengruppe mit der Funktion dcount berechnet.

Lesen Sie die Informationen zum zugrunde liegenden Algorithmus (HyperLogLog) und zur Schätzgenauigkeit.

Siehe data-explorer-agg-function-summarize-note .

Verwenden Sie die Funktion hll_merge , um die Ergebnisse mehrerer hll() -Funktionen zusammenzuführen. Verwenden Sie die Funktion dcount_hll , um die Anzahl unterschiedlicher Werte aus der Ausgabe der Funktionen hll() oder hll_merge zu berechnen.

Syntax

hll (Ausdruck [, genauigkeit])

Parameter

Ihren Namen	Typ	Erforderlich	Beschreibung
Ausdr	Zeichenfolge	✓	Der für die Aggregationsberechnung verwendete Ausdruck.
Genauigkeit	int		Der Wert, der die Balance zwischen Geschwindigkeit und Genauigkeit steuert. Erfolgt keine Angabe, lautet der Standardwert `1`. Informationen zu unterstützten Werten finden Sie unter Schätzgenauigkeit.

Retouren

Gibt die Zwischenergebnisse der eindeutigen Anzahl von Ausdr in der gesamten Gruppe zurück.

Beispiel

Im folgenden Beispiel wird die Funktion hll() verwendet, um die Anzahl der eindeutigen Datenquellenwerte der Spalte data_source_name in jeder 10-Minuten-Zeitklasse der Spalte original_time zu schätzen.

events
print hll(data_source_name) by bin(original_time,10m)
| take 1

Die angezeigte Ergebnistabelle enthält nur die erste Zeile

Die Ergebnisse

Ursprüngliche Zeit	datenquellenname	Datenquellentypname	Name	user_id	Unter_Ebenenkategorien	Quellen-IP	Quellenport	Ziel-IP-Adresse	Standardport	Schweregrad (Severity)	Ereignis-UUID	Nutzdaten
1682461679682	microsoftWindowsSource6	Microsoft Windows Security Event Log	Prozesserstellung		[8110]	0.0.0.0		0.0.0.0		2	2b02dd50-241e-41cf-9257-1febd36c0140	<13>Feb 10 13:53:35 microsoftWindowsSource6 AgentDevice=WindowsLog AgentLogFile=Microsoft-Windows-Sysmon/Operational ...