Azure Monitor Log Analytics 查询中的计数操作

【问题标题】:Counting operations in Azure Monitor Log Analytics queryAzure Monitor Log Analytics 查询中的计数操作
【发布时间】:2019-10-30 09:50:52
【问题描述】:

我想使用 FullAccess 查询 Add-MailboxPermission 和删除的电子邮件/日历事件等操作,以查找受损帐户(以 30m 间隔)。 1. 我应该如何修改我的代码以显示同时满足两个假设的操作(如果我将“或”更改为“和”,那么它将在一个日志中检查这两个假设)? 2.如何修改“计数”以将日志数量减少到结果中显示最少 10 的日志数量?也许应该有另一个功能?

OfficeActivity
| where parse_json(Parameters)[2].Value like "FullAccess" or Operation contains "Delete" 
| summarize Events=count() by bin(TimeGenerated, 30m), Operation, UserId

【问题讨论】:

    标签: azure azure-application-insights azure-log-analytics azure-monitoring


    【解决方案1】:

    欢迎来到 Stack Overflow!

    1. 是的,只有当两个条件都是 true 时,逻辑 and 运算符才会返回 true。检查this doc 以获取查询语言参考。

    2. 再次是的,有top运算符用于返回按指定列排序的前N条记录,用法如下:

      OfficeActivity
| where parse_json(Parameters)[2].Value like "FullAccess" and Operation contains "Delete" 
| summarize Events=count() by bin(TimeGenerated, 30m), Operation, UserId
| top 10 by Events asc

    附加提示: 也有 limittake 运算符,它们返回的结果集最多为指定的行数,但需要注意的是,除非对源数据进行排序,否则无法保证返回哪些记录。

    希望这会有所帮助!

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2018-07-28
      • 1970-01-01
      • 1970-01-01
      • 2020-11-09
      • 2021-07-29
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode