NQL含める

include句を使うことで、インベントリオブジェクトのテーブルとイベントテーブルを結合することができます。特定のオブジェクトにイベントが記録されていなくても、オブジェクトごとのデータを返します。メトリクスを計算する際に、すべてのオブジェクトを考慮するために使用します。

構文

<object table> ...
| include <event table> ...
| compute <new metric name> = <metric>.<aggregation function>
...

例

過去24時間に実行クラッシュを引き起こしたバイナリと、関連するクラッシュの件数を一覧表示します。

binaries
| include execution.crashes during past 24h
| compute total_number_of_crashes = count()
| list total_number_of_crashes, name
| sort total_number_of_crashes desc

クラッシュ件数

バイナリ名

lorem.exe

bibendum.exe

imperdiet.exe

tempor.exe

egestas.exe

semper.exe

justo.exe

複数の「include」句の使用

NQLクエリには複数のinclude句を含めることができます。これにより、同じイベントテーブルを異なる条件で結合したり、複数の異なるイベントテーブルを結合したりできます。

binaries
| include execution.crashes during past 1d
| compute total_number_of_crashes = count()
| include execution.events during past 1d
| compute sum_of_freezes = number_of_freezes.sum()
| list total_number_of_crashes, sum_of_freezes, name
| sort total_number_of_crashes desc

クラッシュ件数

フリーズ合計

バイナリ名

MD5ハッシュ

odio.exe

f32bd724cb4b8593c9789ec584eb38dc

volutpat.exe

5ec62b81e594367fa20a3fbdf4e4e7f3

eget.exe

dc182b7939eba5ca8b1d64396b88fcd2

euismod.exe

2d0c540521f7e5683487c42c6ff52479

euismod.exe

2d0c540521f7e5683487c42c6ff52479

aliquet.exe

f4c4ad04db18ff1d225cbc43e864748a

vitae.exe

bd85d77734d35c5ee00edeffc44e1dcd

`with`および`include`句の目的の理解

includeとwithというキーワードは非常に似ていますが、目的はまったく異なります。

キーワード

意味

範囲

目的

計算

with

イベントが記録されたオブジェクトのみを保持します

範囲を変更します

イベントのあるオブジェクトに対して値をフィルタリングおよび/または計算します

常に値が計算され追加されます

include

イベントが記録されていないオブジェクトも含めてすべてのオブジェクトを保持します

計算ステートメントがなければ、範囲に影響はありません

すべてのオブジェクトに対して値が計算される場合にのみ有用です

イベントのないオブジェクトには計算された値がありません

Last updated 29 days ago

構文

例

複数の「include」句の使用

withおよびinclude句の目的の理解

`with`および`include`句の目的の理解