问题标签 [azure-data-explorer]

我创建了一个自定义数据类型来存储外部产品的一些配置。因此，我每天都会将此特定产品/服务的配置（多行但具有相同的数据模型）发送到 Log Analytics 数据存储。

是否有可能显示在多天之间添加或删除了哪些行？数据结构总是一样的

MyCustomData_CL | 项目 Guid_g , Name_s, URL_s

我想看看在什么时候添加/删除了哪些记录。所以基本上每天都和前一天比较。

如何使用 Kusto 查询语言完成此任务？

最好的问候，延斯

如何在 C# 或 python 代码中创建 ADX 联合？UI 在 Web 门户中有意义，但文档对于 .net 文档似乎没有意义。也许我只是错过了一些东西。

我有一些数据存储在我想对其执行聚合和分析的 customEvents 属性包中。我不熟悉可以使用 Azure 数据资源管理器查询语言对 AppInsights 运行的分析查询，但我遇到了问题。

我有一个将属性包的键值对之一的内容转换为数字数组的句柄（在下面的示例中，该输出由items.

但是，当我需要为每个 operation_Id 计算数组中项目的平均值时，我遇到了文档墙。我看过mvexpand, let(使用 lambda 表达式), datatable, 使用动态数据类型等。我遇到的阻塞问题mvexpand是我想将输出中的每一行与其操作相关联operation_Id，而且mvexpand似乎只是在第一行保持这种关系。使用 a datatable，该类型不支持管道输入。

我遇到的另一个常见错误（包括下面的代码示例是Operator Source Expression should be table or column）。

如有必要，我可以在 JavaScript 中执行聚合代码，只将计算出的平均值传递到属性包中，但丢弃原始数据值感觉很浪费。是否有一些明显的计算或聚合函数可以解决这个问题？

在customDimensions我有 x 个键值对数据（目前只有两个Name，Channel例如下面的屏幕截图）

而且我想将它们投影到列而不显式指定键的名称，这样将来，如果将新的键值对添加到日志中，我就不必按顺序返回并修改我的查询将其显示为新列。

谢谢！

我的数据源是“元数据”。每个设备都有一个唯一的 ID，并且每天可以签入多次。我想提出一个 Kusto 查询，该查询为每个 deviceID 在过去 30 天内每天返回一条记录。这是我目前的公式：

这将每天返回 1 条记录，而不是每个 deviceID 每天返回 1 条记录。如果我删除 bin() 并仅使用“by dateTimeUtc”，则每个 deviceID 每天会返回一条以上的记录。如何获取每个 deviceID 在过去 30 天内每天的一条记录？

我创建了一个逻辑应用程序来执行 sp 并将数据保存在 csv 文件中，现在我需要读取 csv 文件并将数据（摄取）保存到 Kusto，我已经添加了从 blob 读取数据“添加或修改 blob 时“但是当它执行时，我在 body 中得到了空数据。任何人都可以帮助我可能是什么错误，

在日志分析工作区中创建自定义日志搜索警报时，我想存储一些数据并在警报查询中进行查询。基本上，它是一个类似 ABC -> DEF，GHI -> JKL 的映射。这些映射可以手动更改。

我正在寻找一种解决方案，例如在工作区中创建表或函数，或者从查询中的 blob 读取数据。我不想在警报查询中创建表或函数，只是从中读取。如果有其他解决方案，也请提出建议。

我正在尝试了解 Kusto（Azure 中的 Log Analytics 查询语言）。

根据文件；

要检索 ，project name并resultsCode从dependencies表中，我需要输入以下内容：

我订阅的机器没有这个表。

我正在使用该heartbeat表并尝试像这样检索计算机和类别：

但是，我收到以下错误：

无法在第 [2,2] 行的“类别”处解析查询

代币：类别行：2 位置：2

这似乎微不足道，并将感谢任何有关此的指示。

我正在尝试将 Azure Logs (kusto) 中的 Windows 事件日志 xml 事件数据转换为列，因此鉴于 parse_xml() 返回的 xml 中的 EventData 数组，我如何将其转换为列？

我尝试了 mvexplode，它给了我行（系列），但后来我想把它们变成列，其中 col 名称是标签中的属性“名称”，值是文本属性。

下面的 Windows 事件日志 xml 供参考

<EventData xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <Data Name="DomainPolicyChanged">Password Policy</Data> <Data Name="DomainName">XXX</Data> <Data Name="DomainSid">S-1-5-21-....</Data> <Data Name="SubjectUserSid">S-1-5-18</Data> <Data Name="SubjectUserName">SRV-XX-001$</Data> <Data Name="SubjectDomainName">DOMAIN</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="PrivilegeList">-</Data> <Data Name="MinPasswordAge"></Data> <Data Name="MaxPasswordAge"></Data> <Data Name="ForceLogoff"></Data> <Data Name="LockoutThreshold">耠&lt;/Data> <Data Name="LockoutObservationWindow"></Data> <Data Name="LockoutDuration"></Data> <Data Name="PasswordProperties">耠-</Data> <Data Name="MinPasswordLength">-</Data> <Data Name="PasswordHistoryLength">-</Data> <Data Name="MachineAccountQuota">-</Data> <Data Name="MixedDomainMode">1</Data> <Data Name="DomainBehaviorVersion">8</Data> <Data Name="OemInformation">12</Data> </EventData>

我想摄取具有扁平结构但键有许多可能值的 JSONND 日志文件；一些键是常见的，例如“时间”，但其他键因日志文件消息的类型而异。将此类数据引入 Kusto/Azure 数据资源管理器的有用策略是什么？

我考虑了以下几点：

• 只将那些总是常见的键放入列中，并将其余的作为 JSON 推送到“动态”数据类型中；
• 预解析相当大的数据样本，提取所有可能的键并为每个键创建列，默认为“字符串”