[英]Counting operations in Azure Monitor Log Analytics query
我想使用 FullAccess 查询 Add-MailboxPermission 之类的操作,并删除电子邮件/日历事件以查找受损帐户(以 30m 间隔)。 1. 我应该如何修改我的代码以显示同时满足两个假设的操作(如果我将“或”更改为“和”,那么它将在一个日志中检查这两个假设)? 2.如何修改“计数”以将日志数量减少到结果中显示最少 10 的日志数量? 也许应该还有另一个function?
OfficeActivity
| where parse_json(Parameters)[2].Value like "FullAccess" or Operation contains "Delete"
| summarize Events=count() by bin(TimeGenerated, 30m), Operation, UserId
欢迎来到堆栈溢出!
是的,逻辑and
运算符仅在两个条件都为 true 时才返回true
。 检查此文档以获取查询语言参考。
再次是的,有一个top运算符用于返回按指定列排序的前 N 条记录,使用如下:
OfficeActivity | where parse_json(Parameters)[2].Value like "FullAccess" and Operation contains "Delete" | summarize Events=count() by bin(TimeGenerated, 30m), Operation, UserId | top 10 by Events asc
附加提示:还有limit
和take
运算符可以将结果集返回到指定的行数,但需要注意的是,除非对源数据进行了排序,否则无法保证返回哪些记录。
希望这可以帮助!
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.