问题标签 [kusto-explorer]

如何正确定义和调用具有多列的表格类型参数的用户函数？

此页面没有任何此类示例 - https://docs.microsoft.com/en-us/azure/data-explorer/kusto/query/functions/user-defined-functions#features-that-are-currently -用户定义的功能不受支持

为了为我的问题提供一些背景信息，这是我这样做的尝试

Kusto 在这里识别出我的函数，但抱怨它只接受一个参数。我怎样才能将两列传递给它？

谢谢，杜桑

我是 kusto 函数的新手，我需要获取 1 天的数据，其中应该包括当天的所有状态。例如：我的原始数据如下图所示

在此处输入图像描述

现在我想获取每天应该具有两种工作状态（正在运行和已完成）的记录。有人可以帮我如何得到这个吗？

我应该得到这个

在此处输入图像描述

提前致谢

我正在将以下 Splunk 查询转换为 Kusto avg(eval(if(Test="Success", Duration, null()))) as AvgDuration

如果测试成功，则此查询将返回持续时间的平均值，否则返回空值。如果下面的 Kusto 查询将返回与我没有看到匹配的数字相同的结果，请您提出建议

| summarize AvgDuration = avgif (Duration, Test = "Success")

另外我如何计算具有相同条件的最小值、最大值和中值。谢谢。

如何将以下 Splunk 查询转换为 Kusto Pls

| eval result=if(Match(Status,"Success|Passed"), "succeeded","failed")

我在 Kusto 中尝试使用下面的方法，但它不起作用 | extend result = case(Status matches regex ("Success", "Passed"), "succeeded", "failed")

谢谢。

我有一个 Kusto 查询，结果是表格格式。但是当我应用条件格式时，它不会按照我创建的规则以正确的颜色突出显示单元格。

例如 - 我有一个带有持续时间的列并将规则设置如下

如何在 Sentinel 中按用户名分组？我对项目、扩展、加入和总结操作感到困惑。附上经过消毒的 KQL 代码和图片。这是用于文件的大量下载，但数量已降低以触发 MSP。

图像结果：https ://ibb.co/QjW308q 。 我正在尝试按 UserID 或“AccountCustomIdentity”进行分组，并且每个. 非常感谢您的帮助！

如果我对以下数据表运行以下查询，则事件 _count>10 的结果仅为 10E。其他类别没有显示在存储桶中是否有任何原因。我想根据事件计数类别呈现柱形图。谢谢。

下面是一个快速而乏味的解决方案。

如果您有更好的答案，请将其包含在您的答案中。

如果你需要一些灵感：

我正在尝试找出如何扩展列以显示从第一行回溯到当前行的最大值（例如，从具有最早时间戳的行到最新的行循环遍历表）。

这是一个示例输入表：

所需的输出是：

谢谢！

Kusto 使用 re2 库：https ://github.com/google/re2/wiki/Syntax ，如此处所述：https : //docs.microsoft.com/en-us/azure/kusto/query/re2 所以显然是环视不支持。

示例字符串：一些句子。一些词 一些词 ServiceInstanceId:78d61d2f-6df9-4ba4-a192-0713d3cd8a82.1234 未找到。, ErrorCode:2 一些句子。一些句子。一些句子。

是否可以从 Kusto 中的上述字符串中提取 78d61d2f-6df9-4ba4-a192-0713d3cd8a82。需要“ServiceInstanceId：”之后的所有字符，直到下一个空格。