Usar o operador summarize para filtrar os resultados
As funções arg_max() e arg_min() filtram as linhas superior e inferior, respectivamente.
Função arg_max
A seguinte instrução retorna a linha mais recente da tabela SecurityEvent para o computador SQL10.NA.contosohotels.com. O * na função arg_max solicita todas as colunas da linha.
SecurityEvent
| where Computer == "SQL10.na.contosohotels.com"
| summarize arg_max(TimeGenerated,*) by Computer
Função arg_min
Nesta instrução, o evento SecurityEvent mais antigo para o computador SQL10.NA.contosohotels.com é retornado como o conjunto de resultados.
SecurityEvent
| where Computer == "SQL10.na.contosohotels.com"
| summarize arg_min(TimeGenerated,*) by Computer
Revisitar o pipe de resultado
Os resultados do pedido passam pelo caractere de pipe. Examine as duas instruções KQL a seguir. Qual é a diferença entre os conjuntos de resultados?
Execute cada consulta separadamente para conferir os resultados.
// Statement 1
SecurityEvent
| summarize arg_max(TimeGenerated, *) by Account
| where EventID == "4624"
// Statement 2
SecurityEvent
| where EventID == "4624"
| summarize arg_max(TimeGenerated, *) by Account
A Instrução 1 contém Contas cuja última atividade foi um Logon.
A tabela SecurityEvent é resumida e retorna a linha mais recente para cada Conta. Então, apenas as linhas com EventID igual a 4624 (Logon) são retornadas.
A Instrução 2 contém o Logon mais recente para Contas que fizeram logon.
A tabela SecurityEvent é filtrada para incluir apenas EventID = 4624. Em seguida, esses resultados são resumidos pela linha de Logon mais recente por Conta.