问题标签 [kql]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

907 问题
Newest
Active
Bountied
318
Unanswered
0 投票
1 回答
586 浏览

azure-log-analytics - Azure 数据资源管理器查询语言-批处理和具体化

参考: https ://docs.microsoft.com/en-us/azure/kusto/query/materializefunction https://docs.microsoft.com/en-us/azure/kusto/query/batches

我正在使用微软的演示门户:https ://aka.ms/LADemo

一个查询可以包含多个表格表达式语句,只要它们由分号 (;) 字符分隔即可。然后,查询返回多个表格结果,这些结果由表格表达式语句生成,并根据查询文本中语句的顺序进行排序。

当我运行以下代码时,我只得到第一个表达式的结果,而不是第二个和第三个表达式。这与上述说法相反。为什么?

结果集图片: 在此处输入图像描述

0 投票
1 回答
2875 浏览

azure-data-explorer - 用于获取到给定日期的累积计数的 Kusto 查询

我有一个数据库,其中包含一组带有用户 ID 和时间戳的事件,我正在尝试编写一个查询,该查询将为我提供每天触发事件的不同用户的计数。因此,如果我们有以下数据:

那么输出应该是:

我有一个查询,它将获取每天的事件数,而不是直到那一天的所有日子的事件数。任何帮助将不胜感激!

0 投票
1 回答
354 浏览

azure-data-explorer - 关闭 Kusto 数据库缓存策略不反映在减少缓存中,如 .show cache 命令所示

我有一个只有一个数据库的 kusto 集群。我们已经在数据库上定义了 3-4 个月的缓存策略。没有表级覆盖缓存策略。所以现在突然我们出于某种原因删除了数据库上的缓存策略。但是当我触发 .show cache 时(在删除缓存策略之前我也这样做了),我看不到各个节点持有的缓存有任何差异,它几乎还是一样的。从缓存中清除现有数据是否需要一些周转时间?我们能以某种方式强迫这种冲洗吗?

0 投票
2 回答
752 浏览

azure-application-insights - Azure Monitor 对筛选的自定义指标发出警报,小于大小写

我有一个带有筛选器的自定义指标的 Azure Monitor 警报。自定义日志查询如下所示:

我想在 sum(valueCount) == 0 时收到警报。为此,我指定“度量标准”=>“小于”=> 1。只要发出度量标准的服务正在运行,它就可以正常工作。当它停止时,没有指标,上面的查询也不会返回任何记录——这就是 Kusto 中聚合函数的工作方式。正因为如此,警报永远不会触发:(。有什么想法可以做到吗?

0 投票
1 回答
257 浏览

azure-data-explorer - 对相似的列字符串值进行分组

我在 Azure Log Analytics 中有一个记录消息的表。实际上并没有很多不同的消息,但在每个消息中都有一个可变部分,例如用户 ID 或时间戳。我需要计算按一小时间隔分组的不同消息类型,忽略每条消息中的变量元素(在这种情况下为 UUID 和时间戳)。我不知道所有的消息类型。我不能碰其他任何东西,我被迫使用这张桌子。

示例数据:

期望的输出:

这是我设法创建的,但我对 KQL 的了解非常有限。

有没有更好的方法来做到这一点?

0 投票
1 回答
314 浏览

azure-data-explorer - 计算 24 小时范围内的请求数以确定用户会话?

想象一个包含如下行的 Web 服务器日志:

我想要一份报告

  • 使用以下标准计算 24 小时内每个用户会话对产品页面的请求数:
  • 唯一用户定义为多个列的组合 ( )
  • 24 小时窗口从第一次请求产品页面的时间戳开始(24 小时窗口可以在任何时间开始)
  • 如果请求的时间戳之间超过 24 小时,则将被视为新用户会话

对于以下日志:

会产生:

也许第二个查询会输出:

(每个用户 24 小时窗口的请求数,因此 1.2.3.4/Netscape 列出了两次)

将提供上述结果集的示例查询是什么?

奖励/可选:如果 24 小时内的请求间隔超过 30m,将被视为另一个新会话

0 投票
1 回答
209 浏览

azure - 总时间查询

在 Log Analytics 中,我可以编写以下查询:

在该时间范围内,每个 bin 都会有请求计数。

我想随着时间的推移获得总和,如下所示:

如何使用 Kusto 实现这一目标?

0 投票
1 回答
320 浏览

azure-data-explorer - 动态查询 ADX 表名

我需要能够动态查询 Azure 数据资源管理器 (ADX) 表,即使用也存储在 ADX 中的特定于应用程序的元数据。

如果这是可能的,那么实现它的方法似乎是通过table()函数。换句话说,感觉我应该能够简单地写:

但是此查询失败,因为我试图将变量传递给table()函数,并且"a parameter, which is not scalar constant string can't be pass as parameter to table() function"。提供的解决方法并没有真正帮助,因为所有可能的表名都不知道提前。

有没有办法在 ADX 中完成这一切(即没有来自客户端的多次查询),还是我需要回到绘图板上?

0 投票
1 回答
1294 浏览

azure-data-explorer - Kusto - 每个系列的最后一行按时间戳

我有一个记录消息的表,对于每个操作,都有几条带有时间戳的消息。我需要获取每个 operation_id 的最后一条消息。

示例数据:

期望的输出:

0 投票
1 回答
6751 浏览

join - 如何在 AppInsights 上使用 Kusto 查询语言进行内部联接

我正在使用以下查询从使用 AppInsights 以 400 失败的请求中获取 operationId 值:

我在以下查询中使用这些 operationId 值来获取所发生事件的日志:

在此处输入图像描述

有了这个,我得到了我想要的信息,但我需要多次编写和执行查询,所以我试图在两个查询之间进行连接但没有成功,因为我不是查询 AppInsights 的专家,我不确定关于如何加入工会,你能帮我吗?


12345678910