Summarize 연산자

개요

다음으로 결과를 집계합니다 summarize.

| summarize [[<dest>=]aggregation[, ...]] by [<dest>=]<expression>[, ...]

다음 등 많은 집계 함수를 지원합니다:

사용 가능한 모든 집계 함수 목록은 다음에서 확인하세요 집계 함수.

예제

카운트

다음 쿼리는 필드에 저장된 지난 하루의 모든 이벤트 수를 표시합니다 num_connections:

panther_logs.public.aws_alb
| where p_event_time > time.ago(1d)
| summarize num_connections=agg.count()

num_connections

993

단일 필드별 그룹 카운트

다음 쿼리는 각 항목에 대한 연결 수를 계산합니다 clientIp 그리고 연결 수가 많은 순서대로 결과를 정렬합니다:

panther_logs.public.aws_alb
| where p_event_time > time.ago(1d)
| summarize num_connections=agg.count() by clientIp
| sort num_connections

clientIp

num_connections

192.167.7.55

979

10.145.4.26

130

10.99.231.15

...

여러 필드별 그룹 카운트

다음 쿼리는 를 표시합니다 num_connections 다음 두 항목으로 그룹화됩니다 clientIp 와 clientPort 필드:

panther_logs.public.aws_alb
| where p_event_time > time.ago(1d)
| summarize num_connections=agg.count() by clientIp, clientPort
| sort num_connections

clientIp

clientPort

num_connections

192.167.7.55

50160

10.145.4.26

63335

10.145.4.26

60845

192.167.7.55

52138

10.99.231.15

58704

…

임의 표현식으로 그룹 카운트

panther_logs.public.aws_alb
| where p_event_time > time.ago(1d)
| summarize num_connections=agg.count() by isOK = elbStatusCode == 200
| sort num_connections

isOK

num_connections

부울 값

1114

true

324

중복 없는 카운트

아래 쿼리는 의 고유한 수를 에 저장합니다 clientIps in num_distinct_clients:

panther_logs.public.aws_alb
| where p_event_time > time.ago(1d)
| summarize num_distinct_clients=agg.count_distinct(clientIp)

num_distinct_clients

121

나중에 집계 참조하기

다음 쿼리 표현식에서 집계를 참조할 수 있습니다:

panther_logs.public.aws_alb
| where p_event_time > time.ago(1d)
| summarize num_connections=agg.count() by clientIp, clientPort
| where num_connections >= 5

clientIp

clientPort

num_connections

192.167.7.55

50160

10.145.4.26

63335

...

필드로 요약(집계 없이)

아래 쿼리는 각 고유한 를 표시합니다 userAgent:

panther_logs.public.aws_alb
| where p_event_time > time.ago(1d)
| summarize by userAgent

userAgent

Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36

curl/8.1.2

Mozilla/5.0 (Linux; Android 7.0; LG-H918 Build/NRD90M) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Mobile Safari/537.36

…

이전Search 연산자 다음Union 연산자

마지막 업데이트 9개월 전

도움이 되었나요?

hashtag개요

hashtag예제

hashtag카운트

hashtag단일 필드별 그룹 카운트

hashtag여러 필드별 그룹 카운트

hashtag임의 표현식으로 그룹 카운트

hashtag중복 없는 카운트

hashtag나중에 집계 참조하기

hashtag필드로 요약(집계 없이)

개요

예제

카운트

단일 필드별 그룹 카운트

여러 필드별 그룹 카운트

임의 표현식으로 그룹 카운트

중복 없는 카운트

나중에 집계 참조하기

필드로 요약(집계 없이)