summarize 演算子を使用してデータを準備する

make_ 関数では、特定の関数の目的に基づいて動的な (JSON) 配列を返します。

make_list() 関数

この関数では、グループ内の式のすべての値の動的な (JSON) 配列を返します。

この KQL クエリでは、まず where 演算子を使用して EventID をフィルター処理します。次に、各コンピューターについて、結果がアカウントの JSON 配列になります。結果として得られる JSON 配列には、重複するアカウントが含まれます。

SecurityEvent
| where EventID == "4624"
| summarize make_list(Account) by Computer

Screenshot of a make_list function results.

グループ内で式によって受け取られる個別の値を含む動的な (JSON) 配列を返します。

この KQL クエリでは、まず where 演算子を使用して EventID をフィルター処理します。次に、各 Computer について、結果が一意の Account の JSON 配列になります。

SecurityEvent
| where EventID == "4624"
| summarize make_set(Account) by Computer

Screenshot of a Make_set function results.