Summarize 연산자

개요

다음과 함께 집계 결과를 확인합니다 요약.

| summarize [[<dest>=]aggregation[, ...]] by [<dest>=]<expression>[, ...] 

다음을 포함한 많은 집계를 지원합니다:

• agg.avg()

• agg.count()

• agg.count_distinct()

• agg.make_set()

• agg.max()

• agg.min()

• agg.percentile_cont()

• agg.stddev()

• agg.sum()

• agg.take_any()

사용 가능한 집계의 전체 목록은 다음에서 확인하세요 집계 함수.

예시

개수

다음 쿼리는 필드에 저장된 지난 하루 동안의 모든 이벤트 수를 표시합니다 num_connections:

단일 필드별 그룹 개수

다음 쿼리는 각 항목에 대한 연결 수를 계산합니다 clientIp 그리고 연결 수가 가장 많은 순서대로 결과를 정렬합니다:

여러 필드별 그룹 개수

다음 쿼리는 다음을 표시합니다 num_connections 다음 두 항목으로 그룹화된 clientIp 및 clientPort fields:

임의의 표현식별 그룹 개수

고유 개수

아래 쿼리는 다음의 고유한 개수를 저장합니다 clientIps를 num_distinct_clients:

나중에 집계를 참조하기

이후 쿼리 표현식에서 집계를 참조할 수 있습니다:

필드별 요약(집계 없음)

아래 쿼리는 각 고유한 userAgent: