Contribute in GitHub: オンラインでの編集 hll () (集約関数)
hll() 関数は、値のセット内の固有値の数を見積もる方法です。 これは、 dcount 関数を使用して、データのグループに対する summarize 演算子内の集約の中間結果を計算することによって行われます。
基礎となるアルゴリズム (HyperLogLog) と推定精度についてお読みください。
data-explorer-agg-function-summarize-note を参照してください。
hll_merge 関数は、複数の hll() 関数の結果をマージするために使用します。 dcount_hll 関数を使用して、 hll() 関数または hll_merge 関数の出力から特殊値の数を計算します。
構文
hll (expr [, 正確度])
パラメーター
| 名前 | タイプ | 必須 | 説明 |
|---|---|---|---|
| 式 | ストリング | ✓ | 集計計算に使用される式。 |
| 正確度 | int | 速度と精度のバランスを制御する値。 指定されていない場合、デフォルト値は 1です。 サポートされる値については、 推定精度を参照してください。 |
返品
グループ全体の expr の個別カウントの中間結果を返します。
例
以下の例では、 hll() 関数を使用して、 original_time 列の各 10 分のタイム・ビン内の data_source_name 列の固有データ・ソース値の数を見積もります。
events
print hll(data_source_name) by bin(original_time,10m)
| take 1
表示される結果テーブルには、最初の 1 行のみが含まれます。
結果
| 元の時刻 | データ・ソース名 | データ・ソース・タイプ名 | 名前 | user_id | low_level_categories | ソース IP | ソース・ポート | 標準 IP | 標準ポート | 重大度 | イベント UUID (event_uuid) | ペイロード |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1682461679682 | microsoftWindowsSource6 | Microsoft Windows Security Event Log | プロセス作成 | [8110 年] | 0.0.0.0 | 0.0.0.0 | 2 | 2b02dd50-241e-41cf-9257-1febd36c0140 | <13>Feb 10 13:53:35 microsoftWindowsSource6 AgentDevice=WindowsLog AgentLogFile=Microsoft-Windows-Sysmon/Operational ... |