De operator Samenvatten gebruiken om gegevens voor te bereiden
De make_-functies retourneren een dynamische matrix (JSON) op basis van het doel van de specifieke functie.
make_list() functie
De functie retourneert een dynamische matrix (JSON) van alle waarden van Expressie in de groep.
Deze KQL-query filtert eerst de EventID met de where-operator. Vervolgens zijn de resultaten voor elke computer een JSON-matrix van accounts. De resulterende JSON-matrix bevat dubbele accounts.
SecurityEvent
| where EventID == "4624"
| summarize make_list(Account) by Computer
make_set() functie
Hiermee wordt een dynamische matrix (JSON) geretourneerd die afzonderlijke waarden bevat die de expressie in de groep opneemt.
Deze KQL-query filtert eerst de EventID met de where-operator. Vervolgens zijn de resultaten voor elke computer een JSON-matrix met unieke accounts.
SecurityEvent
| where EventID == "4624"
| summarize make_set(Account) by Computer
