我在 OMS 中使用这样的查询,SecurityEvent | 其中 TimeGenerated > ago(4h) | 按活动汇总 count(),bin(TimeGenerated, 5min) | 渲染时间表
图表正确显示数据,但是图表数据点被限制在图表的末尾(参见屏幕截图),而大部分图表都是空白的(因为我只检索最后 4 小时的数据点)。这主要违背了使用 bin 5min 的目的,因为我无法清楚地看到数据的波动。
问题似乎是默认情况下时间线图表使用 24 小时 x 轴条。如何使 x 轴刻度更短,以便更清晰地呈现数据。我想在查询中实现它,因为它是创建仪表板所必需的。高级分析页面似乎做得更好,见截图2。
