学ぶ (英語版)
ドキュメント (英語版)
サポート (英語のみ)
コミュニティ (英語版)

NQLで集計する

summarize by文は、情報をプロパティまたは時間間隔でグループ化された集計結果に要約します。

プロパティによるグループ化

byの後にフィールド名を入力して、プロパティでの内訳を作成します。 カンマで区切られた追加のフィールド名を入力して、より多くの内訳次元を作成します。

summarize by句は、days_since_last_seen(整数)、last_seen(日時)やhardware.memory(バイト)などの数値データ型のプロパティでのグループ化をサポートしていません。

構文

...
| summarize <new metric name> = <metric>.<aggregation function> by <field_1>, <field_2> ...

直近7日間におけるデバイスごとのConfluenceバックエンドページの平均ロード時間を表示します。

web.page_views during past 7d
| where application.name == "Confluence"
| summarize backendTime = page_load_time.backend.avg() by device.name
| list device.name, backendTime
| sort backendTime desc
デバイス名
バックエンド時間

device-10d267d2

508.2 ms

device-d1d5abc9

498.9 ms

device-5117c4c3

432.1 ms

device-16834449

431.9 ms

device-b634ce84

429.4 ms

device-731db075

349.8 ms

device-7fb313ef

293.9 ms

device-a834a720

277.6 ms

期間によるグループ化

summarize by文は、時間期間と組み合わせて使用される場合、メトリックの値を時間的なバケットにグループ化します。

構文

...
| summarize <new metric name> = <metric>.<aggregation function> by <time period>

有効な期間の値は次のとおりです:

  • 15 min 30 min 45 min … 値は15の倍数である必要があります。

  • 1 h 2 h 3 h ... 値は整数の必要があります。

  • 1 d 2 d 3 d ... 値は整数の必要があります。

直近7日間におけるクラッシュのデイリー数を時系列順に表示します。

execution.crashes during past 7d
| summarize total_number_of_crashes = count() by 1d
| sort start_time asc
start_time
end_time
bucket_duration
number_of_crashes

2021-03-05 00:00:00

2021-03-06 00:00:00

1 d

758

2021-03-06 00:00:00

2021-03-07 00:00:00

1 d

700

2021-03-07 00:00:00

2021-03-08 00:00:00

1 d

954

2021-03-08 00:00:00

2021-03-09 00:00:00

1 d

493

2021-03-09 00:00:00

2021-03-10 00:00:00

1 d

344

2021-03-10 00:00:00

2021-03-11 00:00:00

1 d

765

2021-03-11 00:00:00

2021-03-12 00:00:00

1 d

857

プロパティと期間によるグループ化

プロパティと時間期間を組み合わせて、追加の内訳を含む時間的なバケットを生成します。 複数のフィールドを使用できますが、時間期間セレクターは1つだけにしてください。 項目の順番は任意です。時間期間セレクターはフィールドのリスト内のどこにでも配置できます。

構文

...
| summarize <new metric name> = <metric>.<aggregation function> by <field_1>, <field_2>, ... <time period>, ...

直近30日間におけるクラッシュのデイリー数を、最も多いクラッシュ数から始まるようにオペレーティングシステムプラットフォームごとに分類して表示します。

execution.crashes during past 30d
| summarize total_number_of_crashes = count() by 1d, device.operating_system.platform 
| sort total_number_of_crashes desc
デバイスプラットフォーム
start_time
end_time
bucket_duration
number_of_crashes

Windows

2021-12-07 00:00:00

2021-12-08 00:00:00

1 d

690

Windows

2021-12-08 00:00:00

2021-12-09 00:00:00

1 d

533

macOS

2021-12-20 00:00:00

2021-12-21 00:00:00

1 d

511

Windows

2021-12-17 00:00:00

2021-12-18 00:00:00

1 d

493

Windows

2021-12-08 00:00:00

2021-12-09 00:00:00

1d

356

macOS

2021-12-20 00:00:00

2021-12-21 00:00:00

1d

325

Last updated

© Nexthink

プライバシーポリシー (英語版)責任ある情報開示ポリシー (英語版)