Uso del operador summarize para preparar los datos

5 minutos

Las funciones make_ devuelven una matriz (JSON) dinámica basada en el propósito de la función específica.

Función make_list()

La función devuelve una matriz (JSON) dinámica de todos los valores de Expression del grupo.

Esta consulta KQL filtrará primero el elemento EventID con el operador where. A continuación, para cada equipo (Computer), los resultados son una matriz JSON de las cuentas (Account). La matriz JSON resultante incluirá cuentas duplicadas.

SecurityEvent
| where EventID == "4624"
| summarize make_list(Account) by Computer

Screenshot of a make_list function results.

Función make_set()

Devuelve una matriz (JSON) dinámica del conjunto de valores únicos que toma Expression del grupo.

Esta consulta KQL filtrará primero el elemento EventID con el operador where. A continuación, para cada equipo (Computer), los resultados son una matriz JSON de las cuentas (Account) únicas.

SecurityEvent
| where EventID == "4624"
| summarize make_set(Account) by Computer

Screenshot of a Make_set function results.

Uso del operador summarize para preparar los datos

Función make_list()

Función make_set()

Comentarios