Use o operador summarize para filtrar resultados
As funções arg_max() e arg_min() filtram as linhas superior e inferior, respectivamente.
arg_max função
A instrução a seguir retorna a linha mais atual da tabela SecurityEvent para o computador SQL10.NA.contosohotels.com. O * na função arg_max solicita todas as colunas para a linha.
SecurityEvent
| where Computer == "SQL10.na.contosohotels.com"
| summarize arg_max(TimeGenerated,*) by Computer
arg_min função
Nesta instrução, o SecurityEvent mais antigo para o computador SQL10.NA.contosohotels.com é retornado como o conjunto de resultados.
SecurityEvent
| where Computer == "SQL10.na.contosohotels.com"
| summarize arg_min(TimeGenerated,*) by Computer
Revisitando o tubo de resultado
Os resultados da ordem passam pelas questões de caráter do tubo. Analise as duas instruções KQL a seguir. Qual é a diferença entre os conjuntos de resultados?
Execute cada consulta separadamente para ver os resultados.
// Statement 1
SecurityEvent
| summarize arg_max(TimeGenerated, *) by Account
| where EventID == "4624"
// Statement 2
SecurityEvent
| where EventID == "4624"
| summarize arg_max(TimeGenerated, *) by Account
A Instrução 1 tem Contas para as quais a última atividade foi um Logon.
A tabela SecurityEvent é resumida e retorna a linha mais atual para cada Conta. Em seguida, apenas as linhas com EventID igual a 4624 (Login) são retornadas.
A instrução 2 tem o Logon para Contas que efetuaram login mais recente.
A tabela SecurityEvent é filtrada para incluir apenas EventID = 4624. Em seguida, esses resultados são resumidos para a linha de logon mais atual por conta.