De let-instructie gebruiken
Laat instructies namen binden aan expressies. Voor de rest van het bereik, waar de let-instructie wordt weergegeven, verwijst de naam naar de afhankelijke waarde. Laat instructies de modulariteit verbeteren en hergebruiken, omdat u hiermee een potentieel complexe expressie in meerdere onderdelen kunt opsplitsen. Elk onderdeel is gebonden aan een naam via de let-instructie en samen vormen ze het geheel. Met let-instructies kunt u door de gebruiker gedefinieerde functies en weergaven maken. De weergaven zijn expressies waarvan de resultaten eruitzien als een nieuwe tabel.
Variabelen declareren en opnieuw gebruiken
Met let-instructies kan het maken van variabelen in latere instructies worden gebruikt. In dit voorbeeld worden timeOffSet en discardEventId gemaakt en gebruikt als onderdeel van de Component SecurityEvent 'where'.
let timeOffset = 7d;
let discardEventId = 4688;
SecurityEvent
| where TimeGenerated > ago(timeOffset*2) and TimeGenerated < ago(timeOffset)
| where EventID != discardEventId
Tip
'ago()' is een functie die de huidige datum en tijd gebruikt en de opgegeven waarde aftrekken.
Dynamische tabellen of lijsten declareren
Met instructies kunt u dynamische tabellen of lijsten maken.
let suspiciousAccounts = datatable(account: string) [
@"\administrator",
@"NT AUTHORITY\SYSTEM"
];
SecurityEvent | where Account in (suspiciousAccounts)
let LowActivityAccounts =
SecurityEvent
| summarize cnt = count() by Account
| where cnt < 1000;
LowActivityAccounts | where Account contains "SQL"