Usare l'operatore summarize per preparare i dati

5 minuti

Le funzioni make_ restituiscono una matrice dinamica (JSON) basata sullo scopo della funzione specifica.

Funzione make_list()

La funzione restituisce una matrice dinamica (JSON) di tutti i valori dell'espressione nel gruppo.

Questa query KQL filtra per prima cosa l'EventID con l'operatore where. Quindi, per ogni Computer, i risultati sono una matrice JSON di account. La matrice JSON risultante includerà account duplicati.

SecurityEvent
| where EventID == "4624"
| summarize make_list(Account) by Computer

Screenshot of a make_list function results.

Funzione make_set()

Restituisce una matrice dinamica (JSON) contenente valori distinti che l'espressione accetta nel gruppo.

Questa query KQL filtra per prima cosa l'EventID con l'operatore where. Quindi, per ogni Computer, i risultati sono una matrice JSON di account univoci.

SecurityEvent
| where EventID == "4624"
| summarize make_set(Account) by Computer

Screenshot of a Make_set function results.

Usare l'operatore summarize per preparare i dati

Funzione make_list()

Funzione make_set()

Commenti e suggerimenti