通过

arg_max()(聚合函数)

  • 项目

适用于:✅Azure 数据资源管理器Azure MonitorMicrosoft Sentinel

在组中找到使 ExprToMaximize 的值最大的行。

注意

此函数与 summarize 运算符结合使用。

弃用的别名:argmax()

语法

arg_max (ExprToMaximize, * | ExprToReturn [, ...])

详细了解语法约定

参数

客户 类型​​ 必需 说明
ExprToMaximize string ✔️ 用于聚合计算的表达式。
ExprToReturn string ✔️ 当 ExprToMaximize 为最大值时用于返回值的表达式。 使用通配符 * 返回输入表的所有列。

返回

返回组中使 ExprToMaximize 的值最大的行,以及 ExprToReturn 中指定的列的值。

示例

找出每个州发生风暴事件的最大纬度。

StormEvents 
| summarize arg_max(BeginLat, BeginLocation) by State

结果表仅显示前 10 行。

状态 BeginLat BeginLocation
密西西比州 34.97 BARTON
VERMONT 45 NORTH TROY
AMERICAN SAMOA -14.2 OFU
HAWAII 22.2113 PRINCEVILLE
MINNESOTA 49.35 ARNESEN
RHODE ISLAND 42 WOONSOCKET
INDIANA 41.73 FREMONT
西弗吉尼亚州 40.62 CHESTER
SOUTH CAROLINA 35.18 LANDRUM
德克萨斯 36.4607 DARROUZETT
... ... ...

在显示所有列的每个州中查找上一次发生直接死亡的事件。

StormEvents
| where DeathsDirect > 0
| summarize arg_max(StartTime, *) by State

结果表仅显示前 10 行和前 3 列。

状态 StartTime EndTime ...
GUAM 2007-01-27T11:15:00Z 2007-01-27T11:30:00Z ...
MASSACHUSETTS 2007-02-03T22:00:00Z 2007-02-04T10:00:00Z ...
AMERICAN SAMOA 2007-02-17T13:00:00Z 2007-02-18T11:00:00Z ...
爱达荷州 2007-02-17T13:00:00Z 2007-02-17T15:00:00Z ...
DELAWARE 2007-02-25T13:00:00Z 2007-02-26T01:00:00Z ...
怀俄明州 2007-03-10T17:00:00Z 2007-03-10T17:00:00Z ...
NEW MEXICO 2007-03-23T18:42:00Z 2007-03-23T19:06:00Z ...
INDIANA 2007-05-15T14:14:00Z 2007-05-15T14:14:00Z ...
MONTANA 2007-05-18T14:20:00Z 2007-05-18T14:20:00Z ...
LAKE MICHIGAN 2007-06-07T13:00:00Z 2007-06-07T13:00:00Z ...
... ... ... ...

以下示例演示了 null 处理。

datatable(Fruit: string, Color: string, Version: int) [
    "Apple", "Red", 1,
    "Apple", "Green", int(null),
    "Banana", "Yellow", int(null),
    "Banana", "Green", int(null),
    "Pear", "Brown", 1,
    "Pear", "Green", 2,
]
| summarize arg_max(Version, *) by Fruit

输出

水果 版本 Color
Apple 1 Red
香蕉 黄色
2 绿色