Utiliser l’opérateur de synthèse pour filtrer les résultats
Les fonctions arg_max () et arg_min () filtrent les lignes du haut et du bas respectivement.
Fonction arg_max
L’instruction suivante retourne la ligne la plus récente de la table SecurityEvent pour l’ordinateur SQL10.NA.contosohotels.com. Le * dans la fonction arg_max demande toutes les colonnes de la ligne.
SecurityEvent
| where Computer == "SQL10.na.contosohotels.com"
| summarize arg_max(TimeGenerated,*) by Computer
Fonction arg_min
Dans cette instruction, le plus ancien SecurityEvent pour l’ordinateur SQL10.NA.contosohotels.com est retourné en tant que jeu de résultats.
SecurityEvent
| where Computer == "SQL10.na.contosohotels.com"
| summarize arg_min(TimeGenerated,*) by Computer
Réexaminer le canal de résultat
Les résultats de la commande passent par le caractère de barre verticale. Passez en revue les deux instructions KQL suivantes. Quelle est la différence entre les jeux de résultats ?
Exécutez chaque requête séparément pour voir les résultats.
// Statement 1
SecurityEvent
| summarize arg_max(TimeGenerated, *) by Account
| where EventID == "4624"
// Statement 2
SecurityEvent
| where EventID == "4624"
| summarize arg_max(TimeGenerated, *) by Account
L’instruction 1 a des comptes pour lesquels la dernière activité était une ouverture de session.
La table SecurityEvent est résumée et retourne la ligne la plus récente pour chaque compte. Seules les lignes avec l’ID d’événement égal à 4624 (connexion) sont retournées.
L’instruction 2 a l’ouverture de session la plus récente pour les comptes qui se sont connectés.
La table SecurityEvent est filtrée pour inclure uniquement EventID = 4624. Ces résultats sont résumés pour la ligne d’ouverture de session la plus récente par compte.