GitHub의 컨트리뷰션: 온라인 편집 hll () (집계 함수)
hll() 함수는 값 세트에서 고유 값의 수를 추정하는 방법입니다. dcount 함수를 사용하여 데이터 그룹에 대한 summarize 연산자 내에서 집계의 중간 결과를 계산하여 이를 수행합니다.
기본 알고리즘 (HyperLogLog) 및 추정 정확도에 대해 읽으십시오.
data-explorer-agg-function-summarize-note 를 참조하십시오.
hll_merge 함수를 사용하여 여러 hll() 함수의 결과를 병합하십시오. dcount_hll 함수를 사용하여 hll() 또는 hll_merge 함수의 출력에서 구별 값의 수를 계산하십시오.
구문
hll (expr [, 정확성])
매개변수
| 이름 | 유형 | 필수 | 설명 |
|---|---|---|---|
| 식 | 문자열 | ✓ | 집계 계산에 사용되는 표현식입니다. |
| 정확성 | INT | 속도와 정확성 사이의 균형을 제어하는 값입니다. 지정되지 않은 경우 기본값은 1입니다. 지원되는 값은 추정 정확도를 참조하십시오. |
리턴값
그룹에서 expr 의 고유한 수에 대한 중간 결과를 리턴합니다.
예
다음 예제에서 hll() 함수는 original_time 컬럼의 각 10분 시간 구간 내에서 data_source_name 컬럼의 고유 데이터 소스 값 수를 추정하는 데 사용됩니다.
events
print hll(data_source_name) by bin(original_time,10m)
| take 1
표시된 결과 테이블에는 처음 1개행만 포함됩니다.
결과
| 원본 시간 | 데이터 소스 이름 | 데이터 소스 유형 이름 | 이름 | user_id | 하위 레벨 범주 | IP | src_port | 표준 vl기본값 | 표준 포트 | 심각도 | 이벤트 UUID | 페이로드 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1682461679682 | microsoftWindowsSource6 | Microsoft Windows 보안 이벤트 로그 | 프로세스 작성 | [8110] | 0.0.0.0 | 0.0.0.0 | 2 | 2b02dd50-241e-41cf-9257-1febd36c0140 | <13>Feb 10 13:53:35 microsoftWindowsSource6 AgentDevice=WindowsLog AgentLog파일=Microsoft-Windows-Sysmon/Operational ... |