Funciones de agregación de datos de AQL

Las funciones de agregación de Ariel Query Language (AQL) le ayudan a agregar y manipular los datos que extrae de la base de datos de Ariel.

Funciones de agregación de datos

Utilice las siguientes funciones de AQL para agregar datos y para realizar cálculos sobre los datos agregados que extrae de las bases de datos de AQL:

PROM.
COUNT
RECUENTO
PRIMERO
GROUP BY
HAVING
LAST
MÍN
max
STDEV
STDEVP
SUMA
UNIQUECOUNT

`AVG`

Finalidad: Devuelve el valor promedio de las filas de la agregación.

Ejemplo

SELECT sourceip, 
AVG(magnitude)
FROM events 
GROUP BY sourceip

`COUNT`

Finalidad: Devuelve el recuento de las filas de la agregación.

Ejemplo

SELECT sourceip, 
COUNT(*) 
FROM events 
GROUP BY sourceip

Vea más ejemplos

`DISTINCTCOUNT`

Finalidad: Devuelve el recuento exclusivo del valor de la agregación. Utiliza elHyperLogLog+ algoritmo de aproximación para calcular el recuento único. Funciona con un requisito de memoria constante y admite conjuntos de datos ilimitados.

Ejemplo

SELECT username, 
DISTINCTCOUNTCOUNT(sourceip) 
AS CountSrcIP
FROM events 
GROUP BY username

`FIRST`

Finalidad: Devuelve la primera entrada de las filas de la agregación.

Ejemplo

SELECT sourceip, 
FIRST(magnitude)
FROM events 
GROUP BY sourceip

`GROUP BY`

Finalidad

Crea un agregado a partir de una o más columnas.

Para devolver valores que no sean el primer valor predeterminado, utilice funciones como por ejemplo COUNT, MAX, AVG.

Ejemplos

SELECT sourceip, 
COUNT(*) 
FROM  events 
GROUP BY sourceip, destinationip

SELECT username, sourceip, 
COUNT(*) FROM events 
GROUP BY username 
LAST 5 minutes

La columna sourceip se devuelve como FIRST_sourceip. Solo se devuelve un sourceip por username, incluso aunque exista otro sourceip.

SELECT username, 
COUNT(sourceip), 
COUNT(*) FROM events 
GROUP BY username 
LAST 5 minutes

La columna sourceip se devuelve como COUNT_sourceip. El recuento de resultados de sourceip se devuelve por username.

Vea más ejemplos

`HAVING`

Finalidad: Utiliza operadores en el resultado de una columna agrupada por.

Ejemplo

SELECT sourceip, 
MAX(magnitude)
AS MAG 
FROM events 
GROUP BY  sourceip 
HAVING MAG > 5

Vea más ejemplos

Las búsquedas guardadas que incluyen la cláusula de tener y que se utilizan para informes planificados o gráficos de series temporales no están soportadas.

`LAST`

Finalidad: Devuelve la última entrada de las filas del agregado.

Ejemplo

SELECT sourceip, 
LAST(magnitude)
FROM events 
GROUP BY sourceip

`MIN`

Finalidad: Devuelve el valor mínimo de las filas de la agregación.

Ejemplo

SELECT sourceip, 
MIN(magnitude)
FROM events 
GROUP BY sourceip

MÁX

Finalidad: Devuelve el valor máximo de las filas de la agregación.

Ejemplo

SELECT sourceip, 
MAX(magnitude)
FROM events 
GROUP BY sourceip

`STDEV`

Finalidad: Devuelve el valor de desviación estándar de ejemplo de las filas del agregado.

Ejemplo

SELECT sourceip, 
STDEV(magnitude)
FROM events 
GROUP BY sourceip

`STDEVP`

Finalidad: Devuelve el valor de desviación estándar de población de las filas del agregado.

Ejemplo

SELECT sourceip, 
STDEVP(magnitude)
FROM events 
GROUP BY sourceip

`SUM`

Finalidad: Devuelve la suma de las filas de la agregación.

Ejemplo

SELECT sourceip, 
SUM(sourceBytes)
FROM flows 
GROUP BY sourceip

`UNIQUECOUNT`

Finalidad: Devuelve el recuento exclusivo del valor de la agregación.

Ejemplo

SELECT username, 
UNIQUECOUNT(sourceip) 
AS CountSrcIP
FROM events
GROUP BY sourceip