问题标签 [kql]

参考.ingest into table <tablename>功能，根据文档，我们需要指定直接文件名（blob）。但更常见的情况是，我们可能在给定的 blob 路径中有一堆文本文件，所有这些文件都需要导入。有没有办法指定路径？我已尝试指定，但 Kusto 不喜欢文件夹路径。

我试图通过 C# 程序执行 .csl 文件中的 Kusto 函数，但我收到错误的请求错误

“除非是 .show 控制命令，否则无法从查询端点提供控制命令（以点 '.' 开头）。”

我尝试使用executecontrol命令我得到解析错误。请帮忙

示例.csl -

我有这个简单的查询

我希望摘要在我的本地时区，而不是 UTC。这不起作用：

这可以做到吗？

我需要一些帮助来了解如果 VM 在本地或 Azure 云中，我们是否可以通过 Azure 日志分析提取值？

现在，我正在从日志分析中的 Heartbeat 表中查询 IP 范围，并确定它是在 prem 上还是在 Azure 上。但是这种方法并不总是对我有用，因为有新的 IP 范围并且如果 VM 位于 Express 路由 Vnet 上。是否有可以从 Log Analytics 中提取的直接表数据。

以下是 kusto 查询：

输出列给出以下结果：

文件名中包含 yyyymmdd。我只想获取最新的文本文件名。在上述情况下 - Z400_AAA_20191202_ERR.txt

意图是发送警报 - “上述错误文件可用，请检查此文件”

我需要遍历customDimensions。

示例：我在 customDimensions 中有 1000 个标签（json 对象）之类的场景，如下所示

cust_0：数组 cust_1：数组

就像我想遍历并获取 JSON 对象的 customDimensions 中的 1000 个标签一样，是否可以在 kusto 查询中循环？

示例数据：作为给定的示例数据，我存储在 customDimensions 中，就像我有多行一样，在这方面，我想组合（合并）array0、array1、array2 如何编写查询以合并记录 array0 array1 array2 是动态的生成的列

{ “样本1”：“数据”，“样本2”：“数据”，“样本3”：“数据”，“样本4”：“daa”，“样本5”：“数据”，“样本6”：“数据”，“ array0":[ { "1":"0", "2":"1", "3":"1", "4":"1 1", "5":"1 1", "6" :"", "7":"", "8":"1(1)", "9":"1", "10":"1" }, "array1": [ { "1":" 0", "2":"1", "3":"1",“4”：“1 1”，“5”：“1 1”，“6”：“”，“7”：“”，“8”：“1（1）”，“9”：“1” , "10":"1" } ] },

} { “样本1”：“数据”，“样本2”：“数据”，“样本3”：“数据”，“样本4”：“daa”，“样本5”：“数据”，“样本6”：“数据”， “array0”：[ { “1”：“0”，“2”：“1”，“3”：“1”，“4”：“1 1”，“5”：“1 1”，“6 ":"", "7":"", "8":"1(1)", "9":"1", "10":"1" }, "array1": [ { "1": “0”，“2”：“1”，“3”：“1”，“4”：“1 1”，“5”：“1 1”，“6”：“”，“7”：“”，“8”：“1（1）”，“9”：“1” , "10":"1" } ] },

}

我正在编写一个查询来评估跨多个工作空间的表架构，以确保我们没有侵犯500 列表的限制。一旦我们接近，它将触发 Azure 警报。由于我们无法直接控制默认 AzureDiagnsotics 表的架构，因此这是一种在我们可能超过支持的最大阈值时发出警报的方法。

查询返回结果；但是，在测试时，我注意到当 Log Analytics 更新表的架构时查询偶尔会失败。这发生在我将不同的资源类型连接到工作区从而为其提供潜在的新架构信息之后。

它会抛出无法从“columnName”中总结出来的错误。'columnName' 值会随着时间的推移而改变，这让我相信自从发生更新以来它在读取架构时遇到了问题。一段时间后，查询始终返回结果。

以下是查询示例：

我的问题是，有没有办法编写类似于 SQL w/No Lock 的查询？这样即使没有提交，它仍然会返回模式。（我更改了 where 子句以便能够检查返回的记录）。

考虑这个查询：

第一个查询失败，因为它认为 RHS 是数字。第二个和第三个查询成功。如果这些值来自数据，那么今天成功的查询可能会在以后出现编译错误时失败。

请注意，在这种情况下，in() 或 set_intersect() 不是选项，因为 DynamicData 是一个复杂的属性包。即使这适用于 in()，“DynamicData has_any ()”也比“DynamicData.child1.child2 in ()”快得多。

Edit1：这在 in() 上也失败了，并且似乎只要列表中的值可能映射到 GUID 就会发生。
更新了标题并添加了另一个示例。

Edit2：找到了一种不会降低性能的解决方法：将 LHS 包装在一个 tostring 中，例如 'dummyData | 其中 tostring(DynamicData) has_any (toscalar(set1));'

我们有一个庞大的数据集，我们需要将过滤后的数据量保存到存储帐户中。一旦数据到达存储帐户，我们就可以做一个函数应用程序，但是通过我们在仪表板上的查询过滤它并将其保存到存储帐户会更容易。

基本上，我们希望将 kusto 查询保存到 azure 存储帐户。

这可能吗，有人知道我怎么能做到这一点吗？

谢谢

Kusto 中是否有任何方法可以用来替换 Kusto 中动态值中特定键的值？如果需要，替换值甚至删除整个键值对？

更新

假设我们在表格中有以下动态值：-

现在我想摆脱键的键值对，Num1以便生成的输出如下：-

如果这是不可能的，即使以下屏蔽也可以作为解决方案，通过屏蔽我的意思是每当键 Num1 出现在动态值中时，它将为所有行分配一个固定值（在本例中为 0）：-

该值可以是任何字符串或数字，在此示例中我使用了数字，但这可以是任何值。