Använd sammanfattningsoperatorn för att filtrera resultat
Funktionerna arg_max() och arg_min() filtrerar ut de översta respektive nedre raderna.
funktionen arg_max
Följande instruktion returnerar den senaste raden från tabellen SecurityEvent för datorn SQL10.NA.contosohotels.com. Funktionen * i arg_max begär alla kolumner för raden.
SecurityEvent
| where Computer == "SQL10.na.contosohotels.com"
| summarize arg_max(TimeGenerated,*) by Computer
funktionen arg_min
I den här instruktionen returneras den äldsta SecurityEvent för datorn SQL10.NA.contosohotels.com som resultatuppsättning.
SecurityEvent
| where Computer == "SQL10.na.contosohotels.com"
| summarize arg_min(TimeGenerated,*) by Computer
Gå tillbaka till resultatröret
Orderresultatet passerar genom pipe-tecknet. Granska följande två KQL-instruktioner. Vad är skillnaden mellan resultatuppsättningarna?
Kör varje fråga separat för att se resultatet.
// Statement 1
SecurityEvent
| summarize arg_max(TimeGenerated, *) by Account
| where EventID == "4624"
// Statement 2
SecurityEvent
| where EventID == "4624"
| summarize arg_max(TimeGenerated, *) by Account
Instruktion 1 har konton för vilka den senaste aktiviteten var en inloggning.
Tabellen SecurityEvent sammanfattas och returnerar den senaste raden för varje konto. Sedan returneras endast rader med EventID som är lika med 4624 (inloggning).
Instruktion 2 har den senaste inloggningen för konton som har loggat in.
Tabellen SecurityEvent filtreras så att den endast innehåller EventID = 4624. Sedan sammanfattas dessa resultat för den senaste raden för inloggning efter konto.