MENU

会員登録（無料）

PSOE#4(observability)

この問題のディスカッション

PSOE#4(observability)

ダッシュボード上で、過去 7 日間のユニークな攻撃元 IP の数を 1 セルで表示したいです。集計方式として正しいものはどれですか。

A. count(principal.ip) を用い、対象期間のレコード数からユニーク数を近似します
B. approx_distinct(principal.ip)
C. sum(principal.ip) で IP を数値合算し、得られた値からユニーク数を導出します
D. max(principal.ip) で最大の IP を取得し、その値から件数を逆算する方式を採ります

正解と解説ディスカッション 0

正解：B

正解の根拠

ユニーク件数の高速集計には distinct count 系関数 approx_distinct を用います。SecOps では HyperLogLog 近似で大規模データに対応します。

関数	意味
count	レコード総数
approx_distinct	ユニーク数 (近似)

不正解の理由

A はレコード数を返し重複が含まれます。
B は文字列に対する sum は意味を成しません。
D は文字列の最大値であり目的に合致しません。

参考：UDM 集計関数

コメント

コメント

コメントするコメントをキャンセル