有没有办法在 Kusto 语言的不同列中使用 where 子句。我知道 SQL 也使用“Pivot”语法来创建基于唯一值的列。但不要认为这对我有帮助。还有另一个SO question几乎和我有同样的问题。但他的解决方案也没有奏效。
我的查询上下文:此查询获取每个月的每台机器的运行时间。您可能想知道为什么我使用这么长的查询来实现这一点。欢迎任何意见和调整。我对这门语言很陌生。而且我已经使用 top 查询来获取另一个项目中每个 VM 的启动和停止时间。
原始查询:
AzureActivity
| where ResourceProvider == "Microsoft.Compute"
and ActivityStatus == "Succeeded"
and OperationName == "Deallocate Virtual Machine"
| project DeallocateResource=Resource
,DeallocatedDate=format_datetime(EventSubmissionTimestamp, 'yyyy-MM-dd')
,DeallocatedTime=format_datetime(EventSubmissionTimestamp, 'HH:mm:ss')
| join kind=fullouter (AzureActivity
| where ResourceProvider == "Microsoft.Compute"
and ActivityStatus == "Succeeded"
and OperationName == "Start Virtual Machine"
| project StartupResource=Resource
,StartDate=format_datetime(EventSubmissionTimestamp, 'yyyy-MM-dd')
,StartTime=format_datetime(EventSubmissionTimestamp, 'HH:mm:ss')
) on $right.StartupResource == $left.DeallocateResource
| where StartDate == DeallocatedDate
| project Resource=coalesce(StartupResource, DeallocateResource) ,
Runtime = round(todouble(datetime_diff('minute', todatetime(strcat(StartDate , " " , DeallocatedTime )) , todatetime(strcat(StartDate , " " , StartTime )))) / 60)
| summarize sum(Runtime) by Resource
现在,上面的查询将获得运行时间与您在门户中专门设置的时间范围的总和。为了获得每个月的运行时间总和(日志分析设置为 90 天,所以 3 个月前),我添加了这些 where 语句。在 3 个不同的查询中。工作完成了,我得到了 3 个不同的表,每个月的运行时间为 (month1, month2, month3)。
| where TimeGenerated > ago(30d)
| where TimeGenerated between(ago(30d) .. ago(60d) )
| where TimeGenerated between(ago(60d) .. ago(90d) )
但这是 3 个不同的查询和 3 个不同的表。我的目标是在你有 3 个不同的地方得到这个外观(一个表内的时间生成 where 语句)
尝试了 SO 问题解决方案,但没有按计划进行(在将这些代码行添加到我的原始查询时出现 Failed to resolve scalar expression named 'TimeGenerated' 错误)
| summarize sum(Runtime) by Resource , bin(TimeGenerated, 1m)
| summarize Fistmonth = TimeGenerated > ago(30d),
SecondMonth = TimeGenerated between(ago(30d) .. ago(60d)) ,
ThirdMonth = Runtime_,TimeGenerated between(ago(60d) .. ago(90d) ) by Resource
有谁知道我在这里错过或监督什么。这可能与 kusto 吗?我是否使用查询的开销来处理可以在几行中完成的事情。