聚合函数类型一览

适用于:✅Azure 数据资源管理器Azure MonitorMicrosoft Sentinel

聚合函数对一组值执行计算,并返回单个值。 这些函数与 summarize 运算符结合使用。 本文列出了按类型分组的所有可用聚合函数。 有关标量函数,请参阅标量函数类型

二进制函数

函数名称 描述
binary_all_and() 返回使用组的二元 AND 进行聚合的值。
binary_all_or() 返回使用组的二元 OR 进行聚合的值。
binary_all_xor() 返回使用组的二元 XOR 进行聚合的值。

动态函数

函数名称 描述
buildschema() 返回允许动态输入的所有值的最小架构。
make_bag()make_bag_if() 返回一个在组内包含动态值的属性包(不带/带谓词)。
make_list()make_list_if() 返回组中所有值的列表(不带/带谓词)。
make_list_with_nulls() 返回组中所有值(包括 null 值)的列表。
make_set()make_set_if() 返回组中非重复值的集合(不带/带谓词)。

行选择器函数

函数名称 说明
arg_max() 当参数最大化时返回一个或多个表达式。
arg_min() 当参数最小化时返回一个或多个表达式。
take_any()take_anyif() 返回组的随机非空值(不带/带谓词)。

统计函数

函数名称 说明
avg() 返回整个组的平均值。
avgif() 返回整个组的平均值(带谓词)。
count()countif() 返回组的计数(不带/带谓词)。
count_distinct()count_distinctif() 返回不带谓词/带谓词的组中唯一元素的计数。
dcount()dcountif() 返回组元素的近似非重复计数(不带/带谓词)。
hll() 返回组元素的 HyperLogLog (HLL) 结果,即 dcount 近似值的中间值。
hll_if() 返回组元素的 HyperLogLog (HLL) 结果,即 dcount 近似值的中间值(包括谓词)。
hll_merge() 返回合并的 HLL 结果的值。
max()maxif() 返回组中的最大值(不带/带谓词)。
min()minif() 返回组中的最小值(不带/带谓词)。
percentile() 返回组的一个百分位估算值。
percentiles() 返回组的多个百分位估算值。
percentiles_array() 返回数组的百分位近似值。
percentilesw() 返回组的加权百分位近似值。
percentilesw_array() 返回数组的加权百分位近似值。
stdev()stdevif() 返回被视为样本的总体的整个组的标准偏差(不带/带谓词)。
stdevp() 返回被视为代表的总体的整个组的标准偏差。
sum()sumif() 返回组中元素的总和(不带/带谓词)。
tdigest() 返回百分位近似值的中间结果,即组的加权百分位近似值。
tdigest_merge() 返回组内合并的 tdigest 值。
variance()varianceif() 返回整个组的方差(不带/带谓词)。
variancep() 返回被视为代表的总体的整个组的方差。