Utiliser l’opérateur de synthèse pour préparer les données

5 minutes

Les fonctions make_ retournent un tableau dynamique (JSON) en fonction de l’objectif de la fonction spécifique.

fonction make_list ()

La fonction retourne un tableau dynamique (JSON) de toutes les valeurs de l’expression dans le groupe.

Cette requête KQL filtre d’abord le EventID avec l’opérateur Where. Ensuite, pour chaque ordinateur, les résultats sont un tableau de comptes JSON. Le tableau JSON résultant inclura des comptes dupliqués.

SecurityEvent
| where EventID == "4624"
| summarize make_list(Account) by Computer

Screenshot of a make_list function results.

fonction make_set()

Retourne un tableau (JSON) dynamique de l’ensemble de valeurs distinctes prises par une expression dans le groupe.

Cette requête KQL filtre d’abord le EventID avec l’opérateur Where. Ensuite, pour chaque ordinateur, les résultats sont un tableau de comptes JSON.

SecurityEvent
| where EventID == "4624"
| summarize make_set(Account) by Computer

Screenshot of a Make_set function results.

Continuer

fonction make_list ()

fonction make_set()

Commentaires