DuckDB:JSON数据探索性分析实战教程

原创 已于 2024-12-19 19:23:28 修改 · 1.7k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#json #DuckDB #数据分析 #数据工程 #分析工程

于 2024-12-19 19:19:48 首次发布

简单来说,EDA通常指的是数据集的任何初始处理。通常,这些是较小的数据集,是较大数据集的子集,但你也可以使用大数据执行EDA。在本文中,你将扮演SecOps分析师的角色,对EDR( Endpoint Detection and Response:端点检测和响应)数据的快照执行EDA,这些数据可能来自主流工具。
在这里插入图片描述

测试数据

对于SecOps分析师来说,这可能需要处理原始数据集,如网络日志、历史端点检测与响应(EDR)事件、身份验证或通用身份与访问管理(IAM)日志,或几乎任何其他相关的安全或IT可观察性数据点。

在本文中,你将扮演SecOps分析师的角色,对EDR( Endpoint Detection and Response:端点检测和响应)数据的快照执行EDA,这些数据可能来自主流工具。该数据丰富且上下文丰富,其中包含有关发现、文件、设备、所有者、位置、操作系统信息和其他几个数据点的信息。

示例数据请在这里下载,总体来说,这个 JSON 数据结构非常全面且详细地记录了一次与端点检测和响应相关的事件信息,从事件本身的基础情况、涉及的设备、文件、进程到各种描述、时间、风险状态等多方面进行了呈现,多条这样的记录组成的数据集可用于安全分析、威胁追踪、系统监控等众多相关场景。

在这里插入图片描述

要执行此分析,您将使用Python脚本和DuckDB(一种可移植的进程内分析数据库)来学习如何为EDA编写基本的SQL语句。

快速开始

要将脚本中的每个块作为notebook运行,选择run Cell选项执行单元格代码。一个交互窗口将自动出现在VSCode中。

# %%
import duckdb

LOCAL_JSON = "../data/synthetic_edr_data_with_process.json"

# %%

duckdb.sql(
    f"""
    select count(*) from read_json('{
     
     LOCAL_JSON}')
    """
).show()
# %%

查询结果:

┌──────────────┐
│ count_star() │
│    int64     │
├──────────────┤
│         1000 │
└──────────────┘

如何返回数据量大,不利于我们查看分析,和所有事情一样,适度是关键。使用COUNT(*)是了解如何限制自己的一种信息丰富的方式,下面例子使用limit语句。LIMIT设置要从数据集检索的最大行数。作为一名人工分析师,使用LIMIT来减少EDA期间查看的数据量有助于防止在探索数据集时变得不堪重负。

# %%

duckdb.sql(
    f"""
    SELECT * FROM read_json('{
     
     LOCAL_JSON}')
    LIMIT 10
    """
).show()

返回结果:

┌─────────┬───────────┬───────────────┬───┬──────────────────────┬──────────────────────┬──────────────────────┐
│ action  │ action_id │ activity_name │ … │        device        │         file         │       process        │
│ varchar │   int64   │    varchar    │   │ struct(uid_alt var…  │ struct(accessed_ti…  │ struct(created_tim…  │
├─────────┼───────────┼───────────────┼───┼──────────────────────┼──────────────────────┼──────────────────────┤
│ Denied  │         2 │ Close         │ … │ {'uid_alt': sensor…  │ {'accessed_time': …  │ {'created_time': 2…  │
│ Denied  │         2 │ Update        │ … │ {'uid_alt': sensor…  │ {'accessed_time': …  │ {'created_time': 2…  │
│ Denied  │         2 │ Update        │ … │ {'uid_alt': sensor…  │ {'accessed_time': …  │ {'created_time': 2…  │
│ Denied  │         2 │ Close         │ … │ {'uid_alt': sensor…  │ {'accessed_time': …  │ {'created_time': 2…  │
│ Denied  │         2 │ Close         │ … │ {'uid_alt': sensor…  │ {'accessed_time': …  │ {'created_time': 2…  │
│ Denied  │         2 │ Update        │ … │ {'uid_alt': sensor…  │ {'accessed_time': …  │ {'created_time': 2…  │
│ Denied  │         2 │ Close         │ … │ {'uid_alt': sensor…  │ {'accessed_time': …  │ {'created_time': 2…  │
│ Denied  │         2 │ Close         │ … │ {'uid_alt': sensor…  │ {'accessed_time': …  │ {'created_time': 2…  │
│ Denied  │         2 │ Update        │ … │ {'uid_alt': sensor…  │ {'accessed_time': …  │ {'created_time': 2…  │
│ Denied  │         2 │ Close         │ … │ {'uid_alt': sensor…  │ {'accessed_time': …  │ {'created_time': 2…  │
├─────────┴───────────┴───────────────┴───┴──────────────────────┴──────────────────────┴──────────────────────┤
│ 10 rows                                                                                 31 columns (6 shown) │
└──────────────────────────────────────────────────────────────────────────────────────────────────────────────┘

要强制行唯一性,请使用SELECT DISTINCT语句返回不同的(惟一的)值。在某些情况下,这有助于进一步减少返回的数据量,例如查询数据集中值得注意的唯一实例或指示符。例如,检索身份验证日志中用户的唯一名称,或者检索EDR数据集中设备的ip或uuid。

# %%
duckdb.sql(
    f"""
    SELECT DISTINCT * FROM read
最低0.47元/天 解锁文章

200万优质内容无限畅学
2024年10月数据月报
SmartSi
11-02 1612
2024年10月数据月报,为您准备了阿里、字节、百度等大厂160多篇实践案例
2024年06月数据月报
SmartSi
07-06 965
2024年06月数据月报,为您准备了阿里、字节、百度等大厂130+篇实践案例
DuckDB 高效分析 JSON 数据:从入门到实战
Xianxiancq的博客
05-03 1316
解析 JSON 文件进行分析常常充满挑战。无论你是在处理 API 响应、日志文件,还是应用数据,如果没有合适的工具,分析 JSON 都会非常耗时。 借助 DuckDB,你可以直接用 SQL 查询复杂的 JSON 文件,无需编写复杂的解析代码或搭建重量级数据库环境,就能高效分析 JSON 数据
DuckDB: 快速规范化json数据结构
neweastsun的专栏
12-20 969
DuckDB 可以方便地读取包含 JSON 数据的文件。对于JSON 数据的文件,DuckDB 能够直接加载并解析其中的内容。它支持多种读取方式,如通过read_json函数可以将 JSON 数据读入到关系型数据表中。
数据分析神器 DuckDB:用sql语句来操作数据文件,支持csv,excel,json等文件
最新发布
时光清浅处,一步一安然
06-09 496
DuckDB 是一个开源的嵌入式分析数据库,专为高性能 OLAP(联机分析处理)场景设计。它结合了轻量级嵌入、列式存储和向量化执行引擎,在 Python 生态中因其易用性和速度备受青睐。
【亲测免费】 DuckDB 教程
gitblog_00926的博客
08-12 1139
DuckDB 教程 1. 项目介绍 DuckDB 是一个高性能的分析数据库管理系统,设计目的是快速、可靠、可移植并且易于使用。它支持丰富的SQL方言,包括高级特性如嵌套相关子查询、窗口函数、排序规则、复杂类型(数组、结构、映射)以及一系列让SQL更易用的扩展。DuckDB 可以作为独立的命令行应用程序运行,并且有Python、R、Java、Wasm等语言的客户端,能够无缝集成到如pandas和d...
DuckDB快速入门教程
neweastsun的专栏
12-14 3569
本地化​ 首先,DuckDB是进程内单文件数据库,没有外部依赖关系。这是什么意思?与Postgres不同,它不需要设置客户端/服务器,也不需要安装外部依赖项。此外,客户端与服务端之间的数据传输速度比正常情况下要慢。另一方面,DuckDB嵌入到主机应用程序进程中,并管理存储在单个文件中的数据库。没有客户机/服务器,安装起来很简单。如果你需要运行DB来进行本地数据分析,那么它就是你的选择!性能​ 其次,DuckDB针对分析查询工作负载(OLAP)进行了高度优化。
Awesome DuckDB 使用教程
gitblog_00491的博客
03-31 232
Awesome DuckDB 使用教程 一、项目目录结构及介绍 awesome-duckdb 项目是一个关于 DuckDB 资源的精选列表。以下是项目的目录结构及其说明: awesome-duckdb/ ├── .github/ # GitHub 工作流和配置文件 ├── .gitignore # 忽略的文件列表 ├── CODE_OF_CO...
EDR( Endpoint Detection and Response:端点检测和响应)测试数据,这些数据可能来自主流工具 用于学习探索性分析
12-19
示例数据说明:这个 JSON 数据结构非常全面且详细地记录了一次与端点检测和响应相关的事件信息,从事件本身的基础情况、涉及的设备、文件、进程到...《DuckDBJSON数据探索性分析实战教程》博客中使用的数据,地址:...
用 Prompt × 自动标注构建高质量微调数据集:从 5 条黄金样本扩展到 500 条可训语料的实战全流程
努力分享一些人工智能、计算机视觉、影像等相关的知识干货!
04-06 1123
高质量的数据,是国产大模型微调成功的关键。但绝大多数人面对微调时都卡在了第一步:“我没有足够的标注数据怎么办?” 本文围绕这个核心问题,系统讲解了如何从 5 条黄金示例出发,通过 Prompt 扩写问法、大模型自动生成回答、构建语义过滤器、配合人工快速校审,最终形成结构化、可复用、标准化的微调训练数据集。 文章覆盖完整工程流程
duckdbDuckDB是一个进程内SQL OLAP数据库管理系统
01-30
安装 如果您只想安装和使用DuckDB,请访问以获取安装和使用说明。 发展历程 为了进行开发,DuckDB需要 ,Python3和符合C++11编译器。 在根目录中运行make来编译源代码。 为了进行开发,请使用make debug来构建未优化的调试版本。 您应该运行make unit和make allunit以在进行更改后验证您的版本是否正常运行。 要测试性能,可以通过执行./build/release/benchmark/benchmark_runner从根目录运行多个标准基准测试。 另请参阅我们的。
DuckDB 开源项目教程
gitblog_01107的博客
08-10 623
DuckDB 开源项目教程 1. 项目目录结构及介绍 DuckDB 的仓库目录结构主要包括以下部分: LICENSE: 项目使用的许可证文件。 Makefile: 用于构建项目的 Makefile 文件。 README.md: 项目的基本介绍和指南。 其他主要目录包括: src: 存放项目的主要源代码,包括数据库引擎的核心实现。 include: 头文件,定义了库的接口供外部使用。 benc...
DuckDB
jixiaoyu0209的博客
06-16 3171
内嵌数据库:不需要单独的服务器进程,直接在应用程序中嵌入。高性能:针对分析工作负载进行了优化。灵活的数据格式支持:支持CSV、Parquet等格式的数据读取和写入。与数据科学工具集成:可以与Pandas、NumPy等库无缝结合使用。DuckDB是一个功能强大且灵活的内嵌数据库,适合数据分析和处理。通过本文介绍的基础功能、进阶功能和高级教程,开发者可以轻松上手并熟练运用DuckDB进行各种数据操作。更多详细信息和示例请参考官方文档。
duckdb学习-1
坚持自己的梦想
03-23 2417
使用python操作duckdb,duckdb数据导入导出,查询元信息
DuckDB学习-初识tpcds
seedcup的专栏
11-15 2897
了解下duckdb如何执行tpcds的查询语句
【亲测免费】 DuckDB 开源项目安装与使用指南
gitblog_00746的博客
08-12 792
DuckDB 开源项目安装与使用指南 一、项目目录结构及介绍 DuckDB 是一个高性能的嵌入式分析型SQL数据库管理系统。基于其在GitHub上的仓库 cwida/duckdb,我们可以概括其基本的目录结构和关键组件: LICENSE: 许可证文件,表明DuckDB遵循MIT许可证。 Makefile: 编译规则文件,用于编译整个项目或特定部分。 README.md: 项目的核心说明文档,包含...
探索DuckDB:快速上手和实用示例
ahdfwcevnhrtds的博客
10-05 979
DuckDB数据分析提供了一个强大且轻量的解决方案,适用于需要处理大批量数据的快速任务。通过本文的介绍和示例,希望大家能更好地理解如何在实际项目中应用DuckDB
DuckDB:使用DuckDB进行Python数据分析指南
Whoisbug的博客
01-16 1594
在本教程中,我们查看了如何使用DuckDB进行Python数据分析。我们使用了CSV文件。但你可以以相同的方式使用parquet和JSON文件以及关系数据库。所以,是的,DuckDB分析Python中大型数据集的有用工具,也是你的Python数据分析工具箱中相当有用的补充。我建议在你的下一个数据分析项目中使用DuckDB。编码愉快!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值