问题标签 [kql]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
2654 浏览

azure-data-explorer - 如何在 Kusto 中使用动态关键字

我正在使用 Azure Resource Graph,它使用 Kusto 语言来查询 Azure 资源,并且对如何通过dynamic现有对象的关键字创建自己的对象感到困惑。下面的示例显示我正在尝试将相同的值分配disk给动态对象osDisk,但它以InvalidQuery. 我究竟做错了什么?

错误

删除dynamic行选项正确返回结果

0 投票
1 回答
373 浏览

azure-data-explorer - 如何在 Kusto 中创建自定义输出对象

我有像下面这样的数组作为我的对象的属性之一。我想提取某些字段并将其仍然作为输出中的数组返回。例如,我只想要namestorageAccountType返回如下

期望的输出

输入数组

0 投票
1 回答
2810 浏览

azure-data-explorer - 展平 Kusto 查询中的列表列表

我有一个 Kusto 查询,它返回一系列行,每行都包含一个分号分隔的列表。我已经能够将每一行的内容拆分为一个列表,但我无法展平该列表。不幸的是,我对使用 Kusto 很陌生,所以我有点挣扎。

我尝试使用函数“union”、“join”、“flatten”,并寻找包含“merge”或“selectmany”一词的函数(我将在 c# 中使用 linq 进行扁平化的函数)。我也尝试过搜索类似的 sql 函数,所以我可以在 Kusto 中查找等效查询,但我没有任何运气。

我正在使用查询:

结果是这样的:

我想使用类似(psudo-Kusto)的东西:

...其中“结果”是上一个操作返回的表。

0 投票
1 回答
244 浏览

azure - KQL - 如何排除在 Sentinel 中不返回日志的函数?

我正在编写一个查询,计算用户在过去 30 天内登录了多少台计算机。我需要在过去 30 天内每天计算每个用户登录到不同机器的次数,以便从日志中获得准确的每日平均值,稍后我会将其与阈值进行比较以检测异常。

我的问题是,如果用户 30 天中只有 1 天没有返回日志,而其他 29 天返回,则查询会排除我表中用户的所有结果。我希望能够说类似的话,如果没有结果(isnull?iff?)然后跳过这一天并继续前进,或者能够将表值设置为空白/0,所以当我执行平均时,它只会添加 0平均。

决赛桌应该返回TargetUserNameAvg(每天的总和/30,不包括当天)。

这里的代码显示了所有的测试天数,只有 10 天而不是 30 天来缩短它。

现在它会正确显示在过去 30 天内有日志的用户,但如果用户甚至 1 天都没有日志,他们将被排除在最终结果之外。

0 投票
1 回答
6618 浏览

azure-data-explorer - 解析 Kusto 列中的嵌套 JSON 数据

在使用 parse_json 解析我的 Kusto 集群中的列中的 JSON 数据后,我注意到在生成的投影值中嵌套了更多 JSON 格式的数据。我需要访问该信息并使每条 JSON 数据都成为自己的列。

我试图按照这个 SO 帖子的答案(在 kusto 查询中解析 json),但没有成功获得正确的语法。

我希望结果是投影列,每个列都命名为每个键,它们各自的值显示在一个行记录中。

0 投票
1 回答
77 浏览

azure - Log Analytics 将进程实例分组为一个进程名称

我正在运行以下查询,它返回了多个服务实例,例如 firefox 和 firefox#1 firefox#2。

当我显示一个图表时,我得到多条线,而不是一条 Firefox 线,其中所有 3 个实例的平均值合为一个。

因此,与其返回 firefox#1 和 firefox#2,不如对所有 3 个的平均值进行分组。

我希望能够查看 VM 上每个进程的 CPU 使用情况,而不是查看同一应用程序的多个实例。

0 投票
1 回答
3465 浏览

azure-data-explorer - 将不同行的数据组合成一个字符串

我正在从数据表中的单个列中获取数据。我需要将它组合成一个用逗号或任何分隔符分隔的字符串。

最终结果应该是一个字符串而不是表格数据。

我需要将结果组合成一个带分隔符的字符串。

结果应该是:"apple,orange,grapes"

0 投票
2 回答
4788 浏览

azure-data-explorer - 如何使用 KUSTO 提取两个请求之间的时间差

我有两个 Rawdata 事件,其中一个是具有一个时间戳的请求,另一个是具有不同时间跨度的响应,是否有一个 kusto 函数可以从 rawdata 中提取这两个日期并在两者之间进行时间差

0 投票
1 回答
49 浏览

azure-data-explorer - 如何使用 kusto 创建一个表,该表在一行中提供服务器列表并在另一行中提供它的计数

如何使用 kusto 创建一个表,该表在一个列中提供服务器列表并在另一列中提供它的计数。我想要一列中有 7 个,另一列中有列表,这可能使用 kusto

7 SRV-SEF-MOVAV01 SRV-SEF-MOVAV02 SRV-SEF-MOVAV03 SRV-SEF-MOVAV04 SRV-SEF-MOVAV05 SRV-SEF-MOVAV06 SRV-SEF-MOVAV08

0 投票
2 回答
3269 浏览

azure-data-explorer - 如何输出特定字段和所有其他列的最新不同值?

我需要一个查询,它将返回字段的特定不同值的所有最新条目。示例我的表格有 2 列:ComputerName, date. 我想为它们中的每一个返回所有不同的值ComputerName和最新date的值。