1

我遇到了一个问题,我有一个 id 数组,我需要使用 id 过滤查询的输出。我怎么能在 Krusto 中做到这一点,因为我没有找到任何关于循环或 foreach 的运算符。

例如,现在我有一个数组

let id=dynamic(['X0001', 'X0002', 'X0003'])

然后我将不得不过滤输出

myDatabase
| where message has id
| project timestamp, message

我希望输出将是已经过滤消息的行在数组中存在任何 id。所以我将不得不循环数组中的 id 并检查它是否存在于 message 属性中

我怎样才能做到这一点?非常感谢任何帮助!

4

1 回答 1

4

使用has_any运算符代替has运算符。

更改您的查询,如下所示:

let id=dynamic(['X0001', 'X0002', 'X0003']);
myDatabase
| where message has_any (id)
| project timestamp, message

以下是官方文档中的示例:

在此处输入图像描述

于 2019-08-21T05:56:13.380 回答