问题标签 [kql]

我的 appInsights 遥测中有一个自定义属性，它是一个键/值对的 json 数组。我想要做的是投影出那个键/值对，似乎一起使用parsejson和mvexpand是如何实现这一点的；但是，我似乎遗漏了一些东西。我的表达式的最终结果是一个名为 type 的列，它是原始 json。尝试将任何属性添加到表达式会导致一个空列。

Json 编码属性

AIQL

2017 年 6 月 30 日更新

为了回答 EranG 的问题，我的请求在将属性投影为列时的输出如下所示。

所以我是 kusto 的新手，我试图在 kusto 查询中获取过去 21 天的最小和最大日期，我想投影这些最小和最大日期。

如何修改此简单查询以获取过去 21 天的最小和最大日期？

有没有办法使用现有的 Kusto 命令排除两个日期之间的周末？我在这里找不到正确的功能https://kusto.azurewebsites.net/docs/queryLanguage/query-essentials/readme.html

基本上我想将一组字段值传递给一个函数，这样我就可以使用 in/!in 运算符。我宁愿能够使用先前查询的结果，而不必手动构造一个集合。

如：

那么 MyAnalyzeFunction 的签名是什么？

我的数据源是“元数据”。每个设备都有一个唯一的 ID，并且每天可以签入多次。我想提出一个 Kusto 查询，该查询为每个 deviceID 在过去 30 天内每天返回一条记录。这是我目前的公式：

这将每天返回 1 条记录，而不是每个 deviceID 每天返回 1 条记录。如果我删除 bin() 并仅使用“by dateTimeUtc”，则每个 deviceID 每天会返回一条以上的记录。如何获取每个 deviceID 在过去 30 天内每天的一条记录？

我有一个日志查询，例如，

这给了我一个简单的输出；

我希望为此查询设置一个指标警报，以便当 in_use 超过总数的 90% 时，它会发送电子邮件警报

在尝试发出警报时，我总是给出以下错误

需要帮助确定我们对此特定指标警报的正确查询。

平均而言，我试图找出一天中哪些时间在应用程序上拥有最活跃的用户。数据包括时间戳和 ID。我将时间戳转换为日期 (M/d/yy) 列和小时 (HH:mm) 列，以便我可以按小时找到平均用户。

例如，如果 2019 年 2 月 17 日 15:00 有 6 个用户，2019 年 2 月 18 日 15:00 有 5 个用户，2019 年 2 月 19 日 15:00 有 4 个用户，则15:00 的平均用户数为 5。我想通过 15 分钟的 bin 查询每次从 0:00 到 23:45 的表，其中包含每次平均用户数。这是我到目前为止所尝试的，但是当我手动计算时，查询没有显示正确的结果：

将不胜感激任何帮助，谢谢！

我想要的是

按客户端操作系统（无操作系统版本 = 仅操作系统名称）和周分组的页面查看次数。

我有什么- Kusto 查询：

此查询的问题在于客户端操作系统名称与其中的版本一起出现，并且最终以不同的版本分组（见下图）。

更新

这与我需要的很接近，但它不适用于任何名称，我只是将其作为示例发布，以帮助理解实际问题。

通过前面的查询，我得到了这个（一种作弊）：

目标我必须查询表 1 并加入表 2 条目。

注意：- 表 2 中的事件发生在表 1 之前，所以我想确保当我查询表 2 时 startTime 小于 1 天或几个小时。

但是似乎我无法传递时间上下文。我尝试了几种方法，但都失败了。

例如，上面的查询只返回表中的第一个条目。

我的 kusto 查询字符串就是这样的，而且很容易理解，但是它不起作用。