Använd sammanfattningsoperatorn för att förbereda data

5 minuter

Make_-funktionerna returnerar en dynamisk matris (JSON) baserat på den specifika funktionens syfte.

funktionen make_list()

Funktionen returnerar en dynamisk matris (JSON) med alla värden för Uttryck i gruppen.

Den här KQL-frågan filtrerar först EventID med operatorn where. För varje dator är resultatet sedan en JSON-matris med konton. Den resulterande JSON-matrisen innehåller dubbletter av konton.

SecurityEvent
| where EventID == "4624"
| summarize make_list(Account) by Computer

Screenshot of a make_list function results.

funktionen make_set()

Returnerar en dynamisk matris (JSON) som innehåller distinkta värden som Uttryck tar i gruppen.

Den här KQL-frågan filtrerar först EventID med operatorn where. För varje dator är resultatet sedan en JSON-matris med unika konton.

SecurityEvent
| where EventID == "4624"
| summarize make_set(Account) by Computer

Screenshot of a Make_set function results.

Använd sammanfattningsoperatorn för att förbereda data

funktionen make_list()

funktionen make_set()

Feedback