0

在我的 Jupyter 笔记本中,我想针对不同的 Sentinel 工作区运行相同的 KQL 查询,并将结果作为数据帧进行比较。是否有一种简单的方法可以同时连接多个工作区,还是每次更改 KQL 查询时都需要重新连接并单独查询每个工作区?

4

2 回答 2

3

你有几个选择来实现它。

  1. 如上所述,使用跨工作空间查询将生成一个包含所有指定工作空间的记录的表,然后您可以将其拆分为多个数据框。
  2. 创建多个连接,并逐个查询。您可以在一个 %%kql 单元格中有多个查询(用空行分隔每个查询,并将每个查询的结果分配给不同的 python 变量
  3. 编写迭代工作区的python代码,并使用 %kql (一行魔术)
  4. 编写迭代工作区的 Python 代码,并使用 ipython 魔术 API 调用 Kqlmagic
  5. 编写迭代工作区的python代码,并使用Kqlmagic模块

(我是Kqlmagic的作者,)

于 2021-06-02T14:49:16.040 回答
1

查看跨工作区查询是否满足您的要求。这里还有更多文档。跨工作区查询正是您所描述的。您使用union运算符来链接两者 - 类似于使用 链接两个表的方式union

摘自文章:

workspace('<workspace-A>').SecurityEvent

| union workspace('<workspace-B>').SecurityEvent
于 2021-06-02T09:44:31.457 回答