Use o operador summarize para preparar dados

5 minutos

As funções make_ retornam uma matriz dinâmica (JSON) com base na finalidade da função específica.

Função make_list()

A função retorna uma matriz dinâmica (JSON) de todos os valores de Expressão no grupo.

Esta consulta KQL filtrará primeiro o EventID com o operador where. Em seguida, para cada computador, os resultados são uma matriz JSON de contas. A matriz JSON resultante incluirá contas duplicadas.

SecurityEvent
| where EventID == "4624"
| summarize make_list(Account) by Computer

Screenshot of a make_list function results.

Função make_set()

Retorna uma matriz dinâmica (JSON) contendo valores distintos que Expression obtém no grupo.

Esta consulta KQL filtrará primeiro o EventID com o operador where. Em seguida, para cada computador, os resultados são uma matriz JSON de contas exclusivas.

SecurityEvent
| where EventID == "4624"
| summarize make_set(Account) by Computer

Screenshot of a Make_set function results.

Use o operador summarize para preparar dados

Função make_list()

Função make_set()

Comentários