Příprava dat pomocí operátoru summarize

5 min

Funkce make_ vrátí dynamické pole (JSON) na základě účelu konkrétní funkce.

make_list()

Funkce vrátí dynamické pole (JSON) všech hodnot výrazu ve skupině.

Tento dotaz KQL nejprve vyfiltruje ID události pomocí operátoru where. V dalším kroku jsou výsledky pro každý počítač polem účtů JSON. Výsledné pole JSON bude obsahovat duplicitní účty.

SecurityEvent
| where EventID == "4624"
| summarize make_list(Account) by Computer

Screenshot of a make_list function results.

make_set()

Vrátí pole dynamic (JSON) obsahující jedinečné hodnoty, které Výraz přebírá ve skupině.

Tento dotaz KQL nejprve vyfiltruje ID události pomocí operátoru where. Dále jsou výsledky pro každý počítač polem JSON jedinečných účtů.

SecurityEvent
| where EventID == "4624"
| summarize make_set(Account) by Computer

Screenshot of a Make_set function results.

Příprava dat pomocí operátoru summarize

make_list()

make_set()

Váš názor