Usar o operador summarize para preparar os dados

5 minutos

As funções make_ retornam uma matriz dinâmica (JSON) com base no propósito da função específica.

Função make_list()

A função retorna uma matriz dinâmica (JSON) de todos os valores de Expressão no grupo.

Essa consulta KQL primeiro filtrará o EventID com o operador where. Em seguida, para cada Computador, os resultados são uma matriz JSON de Contas. A matriz JSON resultante incluirá contas duplicadas.

SecurityEvent
| where EventID == "4624"
| summarize make_list(Account) by Computer

Screenshot of a make_list function results.

Função make_set()

Retorna uma matriz dinâmica (JSON) contendo valores distintos que a Expressão assume no grupo.

Essa consulta KQL primeiro filtrará o EventID com o operador where. Em seguida, para cada Computador, os resultados são uma matriz JSON de Contas exclusivas.

SecurityEvent
| where EventID == "4624"
| summarize make_set(Account) by Computer

Screenshot of a Make_set function results.

Usar o operador summarize para preparar os dados

Função make_list()

Função make_set()

Comentários