GitHubContribuir en GitHub: Editar en línea

hll () (función de agregación)

La función hll() es una forma de estimar el número de valores exclusivos en un conjunto de valores. Lo hace calculando los resultados intermedios para la agregación dentro del operador summarize para un grupo de datos utilizando la función dcount .

Consulte el algoritmo subyacente de (HyperLogLog) y la precisión de la estimación.

Consulte data-explorer-agg-function-summarize-note

Utilice la función hll_merge para fusionar los resultados de varias funciones de hll() . Utilice la función dcount_hll para calcular el número de valores distintos de la salida de las funciones hll() o hll_merge .

Sintaxis

hll (expr [, precisión])

Parámetros

Nombre Tipo Obligatorio Descripción
expr string Expresión utilizada para el cálculo de agregación.
Precisión ent El valor que controla el equilibrio entre velocidad y precisión. Si no se especifica, el valor predeterminado es 1. Para ver los valores soportados, consulte Precisión de la estimación.

Devoluciones

Devuelve los resultados intermedios del recuento diferenciado de expr en el grupo.

Ejemplo

En el ejemplo siguiente, la función hll() se utiliza para estimar el número de valores de origen de datos exclusivos de la columna data_source_name dentro de cada intervalo de tiempo de 10 minutos de la columna original_time .

events
print hll(data_source_name) by bin(original_time,10m)
| take 1

La tabla de resultados mostrada sólo incluye la primera fila

Resultados

hora_original nombre_origen_datos nombre_tipo_origen_datos nombre user_id categorías de nivel inferior i_srs puerto_origen ip_estándar puerto_dstd gravedad event_uuid carga útil
1682461679682 microsoftWindowsSource6 Registros de sucesos de seguridad de Microsoft Windows Crear proceso [8110] 0.0.0.0 0.0.0.0 2 2b02dd50-241e-41cf-9257-1febd36c0140 <13>Feb 10 13:53:35 microsoftWindowsSource6 AgentDevice=WindowsLog AgentLogFile=Microsoft-Windows-Sysmon/Operational ...