De samenvattende operator gebruiken om resultaten te filteren
De functies arg_max() en arg_min() filteren respectievelijk bovenste en onderste rijen uit.
arg_max, functie
De volgende instructie retourneert de meest recente rij uit de tabel SecurityEvent voor de computer SQL12.NA.contosohotels.com. De functie * in de arg_max vraagt alle kolommen voor de rij aan.
SecurityEvent
| where Computer == "SQL12.na.contosohotels.com"
| summarize arg_max(TimeGenerated,*) by Computer
arg_min, functie
In deze instructie wordt de oudste SecurityEvent voor de computer SQL12.NA.contosohotels.com als resultaatset geretourneerd.
SecurityEvent
| where Computer == "SQL12.na.contosohotels.com"
| summarize arg_min(TimeGenerated,*) by Computer
De resultaatpijp opnieuw bekijken
De orderresultaten gaan door het pijpteken. Bekijk de volgende twee KQL-instructies. Wat is het verschil tussen de resultatensets?
Voer elke query afzonderlijk uit om de resultaten te bekijken.
// Statement 1
SecurityEvent
| summarize arg_max(TimeGenerated, *) by Account
| where EventID == "4624"
// Statement 2
SecurityEvent
| where EventID == "4624"
| summarize arg_max(TimeGenerated, *) by Account
Instructie 1 heeft Accounts waarvoor de laatste activiteit een aanmelding was.
De tabel SecurityEvent wordt eerst samengevat en retourneert de meest recente rij voor elk account. Vervolgens worden alleen rijen met EventID geretourneerd die gelijk zijn aan 4624 (aanmelding).
Instructie 2 heeft de meest recente aanmelding voor accounts die zijn aangemeld.
De tabel SecurityEvent wordt gefilterd om alleen EventID = 4624 op te nemen. Vervolgens worden deze resultaten samengevat voor de meest recente aanmeldingsrij per account.