azure 日志警报透视后如何在 kusto 查询中索引列

【问题标题】:How to index a column in kusto query after pivot for azure log alertsazure 日志警报透视后如何在 kusto 查询中索引列
【发布时间】:2021-01-14 19:37:30
【问题描述】:

我在 Azure 中将以下 kusto 查询用作日志查询

traces
| where message contains "SWSE"
| extend d=parse_json(message)
| extend Info=tostring(d.message)
| where Info startswith "Borrow Token" or Info startswith "Return Token" 
| extend  tAction = tostring( split(Info,' ',0)[0])
| summarize count_=count() by tAction, timebox=bin(timestamp, 10m)
| evaluate pivot(tAction,sum(count_))
| extend  diff = abs(Borrow-Return)
| where diff>2

导致

但是,此行在导入日志警报时被标记为错误,而不是在针对 Azure 日志运行时。

| extend  diff = abs(Borrow-Return)

出现错误:

The request had some invalid properties

还有其他方法可以引用这些列吗?

【问题讨论】:

    标签: azure logging azure-data-explorer alerts


    【解决方案1】:

    pivot() 插件的输出架构不是确定性的,取决于输入数据 - 如果您期望的列实际上不存在于输出架构中,您可能需要使用 column_ifexists()

    例如:

    | extend diff = abs(column_ifexists("Borrow", 0) - column_ifexists("Return", 0))

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2021-11-14
      • 2022-12-05
      • 1970-01-01
      • 2016-06-01
      • 1970-01-01
      • 2020-05-25
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode