Contribute in GitHub: オンラインでの編集 count_distinct tif () (集約関数)
スカラー式によって指定された固有値を要約グループごとに条件付きでカウントするか、要約グループを省略した場合は固有値の総数をカウントします。 Predicate が true に評価されるレコードのみがカウントされます。
固有値カウントの見積もりのみが必要な場合は、リソースをあまり消費しない dcountif 集約関数を使用することをお勧めします。
構文
count_distinctif (Expr, 述部)
引数
| 名前 | タイプ | 必須 | 説明 |
|---|---|---|---|
| exp | スカラー | ✓ | カウントされる固有値を持つスカラー式。 |
| 述部 | ストリング | ✓ | 集約するレコードをフィルターに掛けるために使用される式。 |
返品
Predicate が trueに評価されるすべてのレコードについて、要約グループごとの Expr の固有値の数を示す長整数値。
例
この例は、各固有イベント nameに関連付けられている個別の src_ip の数を示しています。 この場合、名前に Group Policyというテキストが含まれている場合にのみカウントします。 その他のレコードは引き続き処理され、結果に追加されますが、集約は実行されません。
events
| project name, severity, original_time, src_ip
| where original_time > ago(24h)
| where severity > 6 and isnotempty(name) and isnotempty(src_ip)
| summarize SrcIpCount=count_distinctif(src_ip, name contains "Group Policy") by Name=name
| order by SrcIpCount desc
| take 10
結果
| 名前 | SrcIpカウント |
|---|---|
| グループ・ポリシーの処理が失敗しました | 69049896 |
| コンテンツ保護違反 | 0 |
| Web サーバー適用違反 | 0 |
| Openfire Jabber サーバー認証バイパス | 0 |
| プロトコル・リバース・パス検査の拒否 | 0 |
| モジュール・ロギング・コマンドの呼び出し | 0 |
| ThinkPHP リモート・コード実行の脆弱性 | 0 |
| 汎用 HTTP クロスサイト・スクリプティング試行 | 0 |
| WAN アクセラレーション受信イベント | 0 |
| Adobe 製品違反 | 0 |