Użyj operatora podsumowania, aby przygotować dane

5 min

Funkcje make_ zwracają tablicę dynamiczną (JSON) na podstawie celu określonej funkcji.

make_list(), funkcja

Funkcja zwraca tablicę dynamiczną (JSON) wszystkich wartości wyrażenia w grupie.

To zapytanie KQL najpierw przefiltruje identyfikator EventID za pomocą operatora where. Następnie dla każdego komputera wyniki są tablicą JSON Kont. Wynikowa tablica JSON będzie zawierać zduplikowane konta.

SecurityEvent
| where EventID == "4624"
| summarize make_list(Account) by Computer

Screenshot of a make_list function results.

make_set() , funkcja

Zwraca tablicę dynamiczną (JSON) zawierającą unikatowe wartości, które wyrażenie przyjmuje w grupie.

To zapytanie KQL najpierw przefiltruje identyfikator EventID za pomocą operatora where. Następnie dla każdego komputera wyniki są tablicą JSON unikatowych kont.

SecurityEvent
| where EventID == "4624"
| summarize make_set(Account) by Computer

Screenshot of a Make_set function results.

Użyj operatora podsumowania, aby przygotować dane

make_list(), funkcja

make_set() , funkcja

Opinia