Utiliser l’opérateur de synthèse pour filtrer les résultats
Les fonctions arg_max () et arg_min () filtrent les lignes du haut et du bas respectivement.
Fonction arg_max
L’instruction suivante retourne la ligne la plus récente de la table SecurityEvent pour l’ordinateur SQL12. NA.contosohotels.com. Le * dans la fonction arg_max demande toutes les colonnes de la ligne.
SecurityEvent
| where Computer == "SQL12.na.contosohotels.com"
| summarize arg_max(TimeGenerated,*) by Computer
Fonction arg_min
Dans cette instruction, le plus ancien SecurityEvent pour l’ordinateur SQL12. NA.contosohotels.com est retourné en tant que jeu de résultats.
SecurityEvent
| where Computer == "SQL12.na.contosohotels.com"
| summarize arg_min(TimeGenerated,*) by Computer
Réexaminer le canal de résultat
Les résultats de la commande passent par le caractère de barre verticale. Passez en revue les deux instructions KQL suivantes. Quelle est la différence entre les jeux de résultats ?
Exécutez chaque requête séparément pour voir les résultats.
// Statement 1
SecurityEvent
| summarize arg_max(TimeGenerated, *) by Account
| where EventID == "4624"
// Statement 2
SecurityEvent
| where EventID == "4624"
| summarize arg_max(TimeGenerated, *) by Account
L’instruction 1 aura des comptes pour lesquels la dernière activité était une ouverture de session.
La table SecurityEvent sera d’abord résumée et renverra la ligne la plus récente pour chaque Compte. Seules les lignes avec l’ID d’événement égal à 4624 (connexion) sont retournées.
L’instruction 2 aura l’ouverture de session la plus récente pour les comptes qui se sont connectés.
La table SecurityEvent sera filtrée pour inclure uniquement EventID = 4624. Ces résultats sont résumés pour la ligne d’ouverture de session la plus récente par compte.