Funções de agregação de dados AQL

As funções agregadas de Ariel Query Language (AQL) ajudam você a agregar e manipular os dados que você extrai do banco de dados Ariel.

Funções de agregação de dados

Use as funções AQL a seguir para agregar dados, e fazer cálculos sobre os dados agregados que você extrai dos bancos de dados AQL:

MÉDIA
COUNT
DISTINTCOUNT
FIRST
AGRUPAR POR
HAVING
ÚLTIMO
MÍNIMO
MÁXIMO
STDEV
STDEVP
SOMA
UNIQUECOUNT

`AVG`

Propósito: Retorna o valor médio das linhas no agregado.

Exemplo

SELECT sourceip, 
AVG(magnitude)
FROM events 
GROUP BY sourceip

`COUNT`

Propósito: Retorna a contagem de linhas no agregado.

Exemplo

SELECT sourceip, 
COUNT(*) 
FROM events 
GROUP BY sourceip

Veja mais exemplos

`DISTINCTCOUNT`

Propósito: Retorna a contagem exclusiva do valor no agregado. Usa oHyperLogLog+ algoritmo de aproximação para calcular a contagem única. Opera com um requisito de memória constante e suporta conjuntos de dados ilimitados.

Exemplo

SELECT username, 
DISTINCTCOUNTCOUNT(sourceip) 
AS CountSrcIP
FROM events 
GROUP BY username

`FIRST`

Propósito: Retorna a primeira entrada das linhas no agregado.

Exemplo

SELECT sourceip, 
FIRST(magnitude)
FROM events 
GROUP BY sourceip

`GROUP BY`

Propósito

Cria um agregado a partir de uma ou mais colunas.

Para retornar valores diferentes do primeiro valor, use funções como COUNT, MAX, AVG.

Exemplos

SELECT sourceip, 
COUNT(*) 
FROM  events 
GROUP BY sourceip, destinationip

SELECT username, sourceip, 
COUNT(*) FROM events 
GROUP BY username 
LAST 5 minutes

A coluna sourceip é retornada como FIRST_sourceip. Apenas uma sourceip será retornada por username, mesmo se outra sourceip existir.

SELECT username, 
COUNT(sourceip), 
COUNT(*) FROM events 
GROUP BY username 
LAST 5 minutes

A coluna sourceip é retornada como COUNT_sourceip. A contagem para os resultados da sourceip é retornada por username.

Veja mais exemplos

`HAVING`

Propósito: Utiliza operadores no resultado de um agrupado por coluna.

Exemplo

SELECT sourceip, 
MAX(magnitude)
AS MAG 
FROM events 
GROUP BY  sourceip 
HAVING MAG > 5

Veja mais exemplos

Pesquisas salvas que incluem a cláusula de possuir e que são usadas para relatórios programados ou gráficos de séries temporais não são suportadas.

`LAST`

Propósito: Retorna a última entrada das linhas no agregado.

Exemplo

SELECT sourceip, 
LAST(magnitude)
FROM events 
GROUP BY sourceip

`MIN`

Propósito: Retorna o valor mínimo das linhas no agregado.

Exemplo

SELECT sourceip, 
MIN(magnitude)
FROM events 
GROUP BY sourceip

MÁXIMO

Propósito: Retorna o valor máximo das linhas no agregado.

Exemplo

SELECT sourceip, 
MAX(magnitude)
FROM events 
GROUP BY sourceip

`STDEV`

Propósito: Retorna o valor de Desviação Padrão de Amostra das linhas no agregado.

Exemplo

SELECT sourceip, 
STDEV(magnitude)
FROM events 
GROUP BY sourceip

`STDEVP`

Propósito: Retorna o valor de Desvio Padrão Populacional das linhas no agregado.

Exemplo

SELECT sourceip, 
STDEVP(magnitude)
FROM events 
GROUP BY sourceip

`SUM`

Propósito: Retorna a soma das linhas no agregado.

Exemplo

SELECT sourceip, 
SUM(sourceBytes)
FROM flows 
GROUP BY sourceip

`UNIQUECOUNT`

Propósito: Retorna a contagem exclusiva do valor no agregado.

Exemplo

SELECT username, 
UNIQUECOUNT(sourceip) 
AS CountSrcIP
FROM events
GROUP BY sourceip