Použití operátoru sumarizace k filtrování výsledků
Funkce arg_max() a arg_min() odfiltruje horní a dolní řádky.
arg_max
Následující příkaz vrátí nejnovější řádek z tabulky SecurityEvent pro počítač SQL10.NA.contosohotels.com. * ve funkci arg_max požaduje všechny sloupce pro řádek.
SecurityEvent
| where Computer == "SQL10.na.contosohotels.com"
| summarize arg_max(TimeGenerated,*) by Computer
arg_min
V tomto příkazu se jako sada výsledků vrátí nejstarší securityEvent pro počítač SQL10.NA.contosohotels.com.
SecurityEvent
| where Computer == "SQL10.na.contosohotels.com"
| summarize arg_min(TimeGenerated,*) by Computer
Revize výsledného kanálu
Výsledky pořadí procházejí znakem svislé roury. Projděte si následující dva příkazy KQL. Jaký je rozdíl mezi sadami výsledků?
Výsledky zobrazíte spuštěním jednotlivých dotazů zvlášť.
// Statement 1
SecurityEvent
| summarize arg_max(TimeGenerated, *) by Account
| where EventID == "4624"
// Statement 2
SecurityEvent
| where EventID == "4624"
| summarize arg_max(TimeGenerated, *) by Account
Příkaz 1 obsahuje účty, pro které byla poslední aktivita přihlášení.
Tabulka SecurityEvent je shrnutá a vrátí nejnovější řádek pro každý účet. Poté se vrátí pouze řádky s ID události rovnající se 4624 (Login).
Příkaz 2 obsahuje nejnovější přihlášení k účtům, které se přihlásily.
Tabulka SecurityEvent je filtrována tak, aby zahrnovala pouze ID události = 4624. Tyto výsledky se pak shrnou pro nejnovější řádek přihlášení podle účtu.