堆棧內存溢出
  簡體   English   中英

在 KQL 中是否有“strcat_if”函數?

[英]In KQL is there an 'strcat_if' function?

 原文  2021-10-28 10:56:19       azure/ kql/ strcat/ sentinel

問題描述

我一直在使用 Defender ATP,並解析了多個列,但由於電子郵件安全性,我不得不解析格式為“potentialPhishURL”和“potentialPhishURL_vendor”的單獨列,這樣做我現在有兩列,通常當供應商已對 URL 應用了 shim,標准解析失敗,因此 strcat("potentialPhishURL", "potentialPhishURL_vendor") 不起作用,因為有時兩個字段都被填充。

當這兩個列都被填充時(potentialPhishURL 和 potentialPhishURL_vendor),它們顯然令人作嘔地合並,而不是我需要它的方式(唯一值或 strcat_if 為空)我猜。

有沒有人對如何做到這一點有任何經驗? 當同一行上的一列為空時,合並 KQL 中的幾列?

如果可以的話,感謝您的閱讀/幫助!

CB

1 個解決方案

解決方案1
 0 已采納  2021-10-28 12:08:48

您應該使用iff()函數,例如:

iff(isempty(col2), col1, strcat(col1, col2))

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 KQL - 如何排除在 Sentinel 中不返回任何日志的函數? KQL - KQL 查詢的邏輯處理 如何使用 KQL extractjson function 引用以 @ 符號開頭的 XML 屬性? KQL 負載均衡器字節 KQL結果請求到變量 KQL 條件子查詢 Kusto KQL 等價於 with 子句 在 KQL 中解析 Json 數組 使用 KQL 的設備信息 KQL 日期時間格式
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM