NQLインクルード
include 句を使うと、インベントリオブジェクトテーブルとイベントテーブルを結合することができます。 特定のオブジェクトにイベントが記録されていなくても、各オブジェクトごとにデータを返します。 メトリクスを計算する際に、すべてのオブジェクトを考慮に入れるようにするために使用します。
構文
<object table> ...
| include <event table> ...
| compute <new metric name> = <metric>.<aggregation function>
...例
実行クラッシュを引き起こしたバイナリと、過去24時間におけるクラッシュの数をリストします。
binaries
| include execution.crashes during past 24h
| compute total_number_of_crashes = count()
| list total_number_of_crashes, name
| sort total_number_of_crashes desc83
lorem.exe
20
bibendum.exe
10
imperdiet.exe
9
tempor.exe
7
egestas.exe
6
semper.exe
6
justo.exe
複数の「include」句の使用
NQL クエリには複数の include 句を含めることができ、異なる条件で同じイベントテーブルを結合したり、複数の異なるイベントテーブルを結合することができます。
60
0
odio.exe
f32bd724cb4b8593c9789ec584eb38dc
26
0
volutpat.exe
5ec62b81e594367fa20a3fbdf4e4e7f3
12
0
eget.exe
dc182b7939eba5ca8b1d64396b88fcd2
7
0
euismod.exe
2d0c540521f7e5683487c42c6ff52479
7
0
euismod.exe
2d0c540521f7e5683487c42c6ff52479
6
0
aliquet.exe
f4c4ad04db18ff1d225cbc43e864748a
6
0
vitae.exe
bd85d77734d35c5ee00edeffc44e1dcd
‘with’ と ‘include’ 句の目的を理解する
include と with キーワードは非常に似ていますが、目的が大きく異なります。
with
イベントが記録されたオブジェクトのみを保持します
範囲を変更します
イベントのあるオブジェクトの値をフィルタリングして計算します
常に値が計算され、追加されます
include
イベントが記録されていないオブジェクトも含め、すべてのオブジェクトを保持します
計算ステートメントがない場合、範囲に影響はありません
すべてのオブジェクトに対して値が計算される場合にのみ有用です
イベントがないオブジェクトには計算された値がありません
Last updated
Was this helpful?