series_lag_fl()

项目
10/02/2024

适用于：✅Azure 数据资源管理器✅Azure Monitor✅Microsoft Sentinel

对序列应用滞后。

函数 series_lag_fl() 是一个用户定义的函数 (UDF)，它接受一个包含动态数值数组的表达式作为输入，并将其向后移动。它通常用于移动时序，以测试模式是新模式还是与历史数据匹配。

语法

series_lag_fl(y_series, offset)

参数

客户	类型	必需	说明
y_series	`dynamic`	✔️	数值的数组单元。
offset	`int`	✔️	一个整数，指定箱中所需的偏移。

函数定义

可以通过将函数的代码嵌入为查询定义的函数，或将其创建为数据库中的存储函数来定义函数，如下所示：

查询定义的函数
存储函数

使用以下 let 语句定义函数。不需要任何权限。

重要

let 语句不能独立运行。它必须后跟一个表格表达式语句。若要运行 series_lag_fl() 的工作示例，请参阅示例。

let series_lag_fl = (series:dynamic, offset:int)
{
    let lag_f = toscalar(range x from 1 to offset+1 step 1
    | project y=iff(x == offset+1, 1, 0)
    | summarize lag_filter = make_list(y));
    fir(series, lag_f, false)
};
// Write your query to use the function here.

使用以下 .create function 定义存储的函数一次。数据库用户权限是必需的。

重要

必须先运行此代码来创建函数，然后才能按示例所示使用该函数。

.create-or-alter function  with (folder = "Packages\\Series", docstring = "Shift a series by a specified offset")
series_lag_fl(series:dynamic, offset:int)
{
    let lag_f = toscalar(range x from 1 to offset+1 step 1
    | project y=iff(x == offset+1, 1, 0)
    | summarize lag_filter = make_list(y));
    fir(series, lag_f, false)
}

若要使用查询定义的函数，请在嵌入的函数定义后调用它。

运行查询

let series_lag_fl = (series:dynamic, offset:int)
{
    let lag_f = toscalar(range x from 1 to offset+1 step 1
    | project y=iff(x == offset+1, 1, 0)
    | summarize lag_filter = make_list(y));
    fir(series, lag_f, false)
};
let dt = 1h;
let time_shift = 1d;
let bins_shift = toint(time_shift/dt);
demo_make_series1
| make-series num=count() on TimeStamp step dt by OsVer
| extend num_shifted=series_lag_fl(num, bins_shift)
| render timechart

重要

若要使此示例成功运行，必须先运行函数定义代码来存储函数。

let dt = 1h;
let time_shift = 1d;
let bins_shift = toint(time_shift/dt);
demo_make_series1
| make-series num=count() on TimeStamp step dt by OsVer
| extend num_shifted=series_lag_fl(num, bins_shift)
| render timechart

输出

移动一天的时序图。

通过

series_lag_fl()

语法

参数

函数定义

示例

其他资源