堆栈内存溢出
  繁体   English   中英

Azure Monitor Log Analytics 查询中的计数操作

[英]Counting operations in Azure Monitor Log Analytics query

 原文  2019-10-30 09:50:52       azure/ azure-application-insights/ azure-log-analytics/ azure-monitoring

问题描述

我想使用 FullAccess 查询 Add-MailboxPermission 之类的操作,并删除电子邮件/日历事件以查找受损帐户(以 30m 间隔)。 1. 我应该如何修改我的代码以显示同时满足两个假设的操作(如果我将“或”更改为“和”,那么它将在一个日志中检查这两个假设)? 2.如何修改“计数”以将日志数量减少到结果中显示最少 10 的日志数量? 也许应该还有另一个function?

OfficeActivity
| where parse_json(Parameters)[2].Value like "FullAccess" or Operation contains "Delete" 
| summarize Events=count() by bin(TimeGenerated, 30m), Operation, UserId

1 个解决方案

解决方案1
 0  2019-10-31 07:18:29

欢迎来到堆栈溢出!

  1. 是的,逻辑and运算符仅在两个条件都为 true 时才返回true 检查文档以获取查询语言参考。

  2. 再次是的,有一个top运算符用于返回按指定列排序的前 N 条记录,使用如下:

     OfficeActivity | where parse_json(Parameters)[2].Value like "FullAccess" and Operation contains "Delete" | summarize Events=count() by bin(TimeGenerated, 30m), Operation, UserId | top 10 by Events asc

附加提示:还有limittake运算符可以将结果集返回到指定的行数,但需要注意的是,除非对源数据进行了排序,否则无法保证返回哪些记录。

希望这可以帮助!

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Azure Monitor / Log Analytics 指标警报查询 如何在 Azure Monitor 中跨 Log Analytics 和 Application Insights 进行查询 Azure 使用 Terraform 监控日志分析查询(显示事件) Azure Monitor / Log Analytics 指标警报查询和需要重定向端到端事务详细信息窗口 Azure 监视器(Log Analytics)查询限制 10,000,无法看到我们可以配置的任何地方 Azure Log Analytics聚合查询 Azure 上 Log Analytics 中的磁盘查询 Azure Monitor…还是Log Analytics? 还是应用程序见解? 还是运营见解? 要么 Azure 监视器 - 日志分析 - 性能计数器 - 本地进程 如何将 Log Analytics / Azure Monitor 挂接到角色分配中?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM