Filtrowanie wyników za pomocą operatora podsumowania
Funkcje arg_max() i arg_min() filtrować odpowiednio pierwsze i dolne wiersze.
funkcja arg_max
Poniższa instrukcja zwraca najbardziej bieżący wiersz z tabeli SecurityEvent dla komputera SQL10.NA.contosohotels.com. Funkcja * w arg_max żąda wszystkich kolumn dla wiersza.
SecurityEvent
| where Computer == "SQL10.na.contosohotels.com"
| summarize arg_max(TimeGenerated,*) by Computer
arg_min, funkcja
W tej instrukcji najstarszy element SecurityEvent dla komputera SQL10.NA.contosohotels.com jest zwracany jako zestaw wyników.
SecurityEvent
| where Computer == "SQL10.na.contosohotels.com"
| summarize arg_min(TimeGenerated,*) by Computer
Ponowne przejrzenie potoku wyników
Wyniki zamówienia przechodzą przez znak potoku ma znaczenie. Przejrzyj następujące dwie instrukcje języka KQL. Jaka jest różnica między zestawami wyników?
Uruchom każde zapytanie oddzielnie, aby wyświetlić wyniki.
// Statement 1
SecurityEvent
| summarize arg_max(TimeGenerated, *) by Account
| where EventID == "4624"
// Statement 2
SecurityEvent
| where EventID == "4624"
| summarize arg_max(TimeGenerated, *) by Account
Instrukcja 1 zawiera konta, dla których ostatnie działanie było logowaniem.
Tabela SecurityEvent jest podsumowana i zwraca najbardziej bieżący wiersz dla każdego konta. Następnie zwracane są tylko wiersze o identyfikatorze EventID równym 4624 (identyfikator logowania).
Instrukcja 2 zawiera najnowsze logowanie dla kont, które się zalogowały.
Tabela SecurityEvent jest filtrowana tak, aby zawierała tylko identyfikator EventID = 4624. Następnie te wyniki są podsumowane dla najbardziej bieżącego wiersza Logowania według konta.