السابق

التالي

استخدام عبارة let

مكتمل

السماح لعبارات ربط الأسماء إلى تعبيرات. بالنسبة لبقية النطاق، حيث تظهر عبارة let، يشير الاسم إلى قيمته المرتبطة. السماح للبيانات بتحسين وحدات وإعادة استخدامها، لأنها تسمح لك بقاطعة التعبير المعقدة المحتملة إلى أجزاء متعددة. يرتبط كل جزء باسم من خلال بيان let، ويؤلفان معًا الكل. تسمح العبارة let بإنشاء وظائف وطرق عرض محددة بواسطة المستخدم. طرق العرض عبارة عن تعبيرات تبدو نتائجها كجدول جديد.

الإعلان عن المتغيرات واستخدامها

تسمح عبارات let بإنشاء متغيرات لاستخدامها في العبارات اللاحقة. في هذا المثال، يتم إنشاء timeOffSet وdiscardEventId واستخدامهما كجزء من جملة SecurityEvent "where".

let timeOffset = 7d;
let discardEventId = 4688;
SecurityEvent
| where TimeGenerated > ago(timeOffset*2) and TimeGenerated < ago(timeOffset)
| where EventID != discardEventId

تلميح

"ago()" هي دالة ستأخذ التاريخ والوقت الحاليين وتطرح القيمة المتوفرة.

تعريف الجداول أو القوائم الحيوية

تسمح عبارات let بإنشاء جداول أو قوائم ديناميكية.

let suspiciousAccounts = datatable(account: string) [
    @"\administrator", 
    @"NT AUTHORITY\SYSTEM"
];
SecurityEvent | where Account in (suspiciousAccounts)

let LowActivityAccounts =
    SecurityEvent 
    | summarize cnt = count() by Account 
    | where cnt < 1000;
LowActivityAccounts | where Account contains "SQL"

متابعة