Uso del operador summarize para filtrar resultados
Las funciones arg_max() y arg_min() filtran la primera y la última filas respectivamente.
Función arg_max
La siguiente instrucción devuelve la fila más actual de la tabla SecurityEvent para el equipo SQL10.NA.contosohotels.com. El asterisco (*) en la función arg_max solicita todas las columnas de la fila.
SecurityEvent
| where Computer == "SQL10.na.contosohotels.com"
| summarize arg_max(TimeGenerated,*) by Computer
Función arg_min
En esta instrucción, se devuelve el elemento SecurityEvent más antiguo para el equipo SQL10.NA.contosohotels.com como el conjunto de resultados.
SecurityEvent
| where Computer == "SQL10.na.contosohotels.com"
| summarize arg_min(TimeGenerated,*) by Computer
Revisión de las barras verticales de resultados
El orden en el que se pasan los resultados con la barra vertical es importante. Revise las dos instrucciones KQL siguientes. ¿Cuál es la diferencia entre los conjuntos de resultados?
Ejecute cada consulta por separado para ver los resultados.
// Statement 1
SecurityEvent
| summarize arg_max(TimeGenerated, *) by Account
| where EventID == "4624"
// Statement 2
SecurityEvent
| where EventID == "4624"
| summarize arg_max(TimeGenerated, *) by Account
La instrucción 1 tiene las cuentas para las que la última actividad ha sido un inicio de sesión.
La tabla SecurityEvent se resume y devuelve la fila más reciente de cada cuenta. Después, se devuelven solo las filas con EventID igual a 4624 (inicio de sesión).
La instrucción 2 tiene el inicio de sesión más reciente para las cuentas que han iniciado sesión.
La tabla SecurityEvent se filtra para incluir solo EventID = 4624. Después, estos resultados se resumen para ofrecer la fila de inicio de sesión más reciente por cuenta.