Contribute in GitHub: オンラインでの編集 count_distinct () (集約関数)
集計グループごとにスカラー式によって指定された固有値をカウントします。集計グループを省略した場合は、固有値の総数をカウントします。
述部が trueを返すレコードのみをカウントするには、 count_distinct tif 集約関数を使用します。
構文
count_distinct (式)
引数
| 名前 | タイプ | 必須 | 説明 |
|---|---|---|---|
| exp | スカラー | ✓ | カウントされる固有値を持つスカラー式。 |
返品
要約グループごとの Expr の固有値の数を示す長整数値。
例
この例は、各固有イベントに関連付けられている別個の src_ip の数を示しています。 name
events
| project name, severity, original_time, src_ip
| where original_time > ago(24h)
| where severity > 6 and isnotempty(name) and isnotempty(src_ip)
| summarize SrcIpCount=count_distinct(src_ip) by Name=name
| order by SrcIpCount desc
| take 10
結果
| 名前 | SrcIpカウント |
|---|---|
| グループ・ポリシーの処理が失敗しました | 69049896 |
| コンテンツ保護違反 | 3675644 |
| Web サーバー適用違反 | 746333 |
| Openfire Jabber サーバー認証バイパス | 69486 |
| プロトコル・リバース・パス検査の拒否 | 50203 |
| モジュール・ロギング・コマンドの呼び出し | 32767 |
| ThinkPHP リモート・コード実行の脆弱性 | 16729 |
| 汎用 HTTP クロスサイト・スクリプティング試行 | 8192 |
| WAN アクセラレーション受信イベント | 4196 |
| Adobe 製品違反 | 2048 |