Usare l'operatore summarize per filtrare i risultati
Le funzioni arg_max() e arg_min() filtrano rispettivamente le prime e le ultime righe.
Funzione arg_max
L'istruzione seguente restituisce la riga più recente della tabella SecurityEvent per il computer SQL10.NA.contosohotels.com. L'asterisco (*) nella funzione arg_max richiede tutte le colonne per la riga.
SecurityEvent
| where Computer == "SQL10.na.contosohotels.com"
| summarize arg_max(TimeGenerated,*) by Computer
Funzione arg_min
In questa istruzione viene restituito come set di risultati il SecurityEvent meno recente per il computer SQL10.NA.contosohotels.com.
SecurityEvent
| where Computer == "SQL10.na.contosohotels.com"
| summarize arg_min(TimeGenerated,*) by Computer
Riesame della pipe dei risultati
I risultati dell'ordine passano attraverso il carattere barra verticale. Esaminare le due istruzioni KQL seguenti. Qual è la differenza tra i due set di risultati?
Eseguire ogni query separatamente per visualizzare i risultati.
// Statement 1
SecurityEvent
| summarize arg_max(TimeGenerated, *) by Account
| where EventID == "4624"
// Statement 2
SecurityEvent
| where EventID == "4624"
| summarize arg_max(TimeGenerated, *) by Account
L'istruzione 1 mostra gli account per cui l'ultima attività è stata un accesso.
La tabella SecurityEvent viene riepilogata e restituisce la riga più aggiornata per ogni account. Vengono restituite solo le righe con EventID uguale a 4624 (accesso).
L'istruzione 2 mostra l'accesso più recente per gli account che hanno eseguito l'accesso.
La tabella SecurityEvent viene filtrata in modo da includere solo EventID = 4624. Questi risultati vengono quindi riepilogati per la riga di accesso più recente in base all'account.