NQL計算

computeコマンドは、イベントテーブルからメトリクスを集約し抽出して、結果テーブルにオブジェクトごとのメトリクスを新しい列として追加します。 これは、withまたはinclude句の後でのみ使用できます。

構文

...
| include...
| compute <new_metric> = <metric>.<aggregation function>

...
| with...
| compute <new_metric> = <metric>.<aggregation function>

例

過去7日間のデバイス
| 過去7日間のexecution.crashesを含む
| compute nb_crashes = number_of_crashes.sum()

‘count()’関数の使用

フィールドが指定されていない場合、count()集約関数はイベントテーブルに適用されます。 例えば、以下のクエリでは、compute句はデバイスごとの起動数を新しい列として追加します。

devices during past 7d
| include device_performance.boots during past 7d
| compute nb_boots = count()

.count()の構文を使用して、ユニークなインベントリオブジェクトを新しい列としてカウントすることもできます。 It appends a new column with either 1 or 0 as the value, based on whether the object has relevant events or not. In the following example, the compute clause returns 1 for the devices that have been booted during past 7 days, and 0 for devices with no boots recorded in that time period. 最後の文では、summarize句を使用して起動されたデバイスの比率を計算します。過去7日間のデバイス| 過去7日間のdevice_performance.bootsを含む| compute nb_devices_with_boots = device.count()| summarize ratio_devices_with_boots = nb_devices_with_boots.sum()/count()