De operator Summarize gebruiken
De tellingsoperator met de variaties maakt een nieuwe kolom met het berekende resultaat voor de opgegeven velden.
Met de eerste instructie hieronder wordt één kolom geretourneerd die een unieke lijst met kolomwaarden voor activiteit is.
De tweede instructie retourneert een telling van SecurityEvent-rijen waarbij EventID gelijk is aan 4688 en het aantal wordt gegroepeerd op Proces en Computer. Vanwege de by-component bevat de resultatenset drie kolommen: Proces, Computer, Aantal.
Voer elke query afzonderlijk uit om de resultaten te bekijken.
SecurityEvent | summarize by Activity
SecurityEvent
| where EventID == "4688"
| summarize count() by Process, Computer
In het onderstaande voorbeeld ziet u een gedeeltelijke lijst met de meest voorkomende eenvoudige statistische functies die worden gebruikt met de samenvattende operator.
| Functie(en) | Beschrijving |
|---|---|
| count(), countif() | Geeft als resultaat het aantal records per samenvattingsgroep |
| dcount(), dcountif() | Retourneert een schatting voor het aantal afzonderlijke waarden dat wordt genomen door een scalaire expressie in de samenvattingsgroep. |
| avg(), avgif() | Berekent het gemiddelde van Expr in de groep. |
| max(), maxif() | Retourneert de maximumwaarde in de groep. |
| min(), minif() | Retourneert de minimumwaarde in de groep. |
| percentiel() | Retourneert een schatting voor het opgegeven percentiel van de dichtstbijzijnde positie van de populatie die is gedefinieerd door Expr. De nauwkeurigheid is afhankelijk van de dichtheid van de populatie in de regio van het percentiel. |
| stdev(), stdevif() | Berekent de standaarddeviatie van Expr in de groep, gezien de groep als voorbeeld. |
| sum(), sumif() | Berekent de som van Expr in de groep. |
| variantie(), variantie() | Berekent de variantie van Expr in de groep, gezien de groep als voorbeeld. |
voorbeeld van de functie count
Een kolom met statistische functies kan expliciet worden benoemd door de veldnaam=op te nemen vóór de statistische functie.
De KQL-instructie retourneert drie kolommen: 'cnt', 'AccountType' en 'Computer'. De veldnaam 'cnt' vervangt de standaardnaam 'count_'.
SecurityEvent
| where TimeGenerated > ago(1h)
| where EventID == 4624
| summarize cnt=count() by AccountType, Computer
<voorbeeld van de functie dcount>
In het volgende voorbeeld wordt een telling van unieke IP-adressen geretourneerd.
SecurityEvent
| summarize dcount(IpAddress)
Laten we eens kijken naar een praktijkvoorbeeld
De volgende instructie is een regel voor het detecteren van ongeldige wachtwoordfouten in meerdere toepassingen voor hetzelfde account.
De where-operator voor ResultDescription filtert de resultatenset voor resultaten, inclusief 'Ongeldig wachtwoord'. Vervolgens produceert de instructie 'summarize' een uniek aantal toepassingsnamen en groeperen op gebruiker en IP-adres. Ten slotte wordt er een controle uitgevoerd op basis van een variabele die is gemaakt (drempelwaarde) om te zien of het aantal het toegestane bedrag overschrijdt.
let timeframe = 30d;
let threshold = 1;
SigninLogs
| where TimeGenerated >= ago(timeframe)
| where ResultDescription has "Invalid password"
| summarize applicationCount = dcount(AppDisplayName) by UserPrincipalName, IPAddress
| where applicationCount >= threshold