堆棧內存溢出
cost 93 ms
有人可以幫助我使用 KQL 查詢在 Azure Sentinel 中創建登錄失敗警報嗎?

[英]Can someone assist me with my KQL query to create an alert for login failures in Azure Sentinel?

查詢我正在嘗試為一台主機上的用戶在多次登錄失敗后成功建立警報。 我得到一個產生不正確結果的查詢。 目前它產生了一個用戶有多個主機的結果有人可以幫我查詢嗎? 示例日志: 示例日志 ...

從 syslog 數據中提取 JSON 的 Sentinel KQL 查詢(來源是 CSW / Tetration)

[英]Sentinel KQL query to extract JSON from syslog data (source is CSW / Tetration)

以下是從 Cisco Secure Workload(以前稱為 Tetration)進入 Sentinel 的系統日志消息示例: 由於目前沒有適用於該產品的現有解析器,因此在解析時需要幫助。 看起來涉及 JSON,但不確定我是否應該使用extractjson或parse_json 。 我已經啟動了 ...

Sentinel 中的 KQL 查詢為用戶提取一天中的第一個和最后一個活動

[英]KQL query in Sentinel to pull first and last activity in a day for user

我需要幫助來提取特定用戶的第一個和最后一個活動的數據。 例如,查看第一個活動是否是 Microsoft 團隊以及何時。 最后一次活動是什么時候,哪一次我試過了,它提供了所有的活動。 我想不出使查詢只投影第一個和最后一個活動的方法。 實際的。 ...

使用 KQL 識別 JSON 消息中值的缺失

[英]using KQL to Identify the absence of a value within a JSON message

我在 ADX 表中存儲了 JSON 條消息。 JSON 列的數據類型是字符串。 在 JSON 消息中是一個如下所示的數組 我想要做的是編寫一個查詢來標識只有一個歸檔數組實例的消息。 例如,它看起來像這樣 到目前為止,我一直在嘗試使用解析 JSON 但無法真正弄清楚如何詢問消息以獲得我正在尋找的結果 ...

無法獲取查詢以實現特定結果

[英]Unable to get query to achieve specific result

我正在使用 azure 日志並希望獲得更好的數據用於我的監控。 因為我從來沒有真正使用過 sql、kql 和其他我對它很陌生。 基本的東西沒問題,但目前我需要/想要做一些我不知道如何實現或什至可能的事情。 我將在下面發布示例數據。 我有包含以下列的日志:時間戳、消息、operation_Name 和 ...

KQL - 從字符串中刪除字符

[英]KQL - Remove Characters from String

剛開始使用 KQL,我目前有一個字符串設置為:“server1-Incremantal”) 我希望刪除前面的“”和尾隨的“”)。 所以有效地只讀“server1-Incremantal”(不帶引號)任何幫助完成這項工作將不勝感激! 我正在尋找字符串讀取“server1-Incremantal”(不帶 ...

2023-01-31 17:32:07   1   16    kql  
Azure應用洞察中KQL查詢結果如何添加超鏈接

[英]How to add hyperlink in KQL query result in Azure Application insight

在圖像中有一個名為“Product total request”的磁貼,它有兩列。 我想在第 2 列(即“總計”)上添加超鏈接,並單擊表格總計 API 列表的行或單元格應顯示在 KQL 編輯器中。 請提出解決方案。 我在 KQL 編輯器中編寫了查詢並固定到 Azure 儀表板。 謝謝。 ...

Kusto 查詢語言 - 使用 bin 將日期時間舍入到最近的月份

[英]Kusto Query Language - Round datetime to nearest month using bin

我有很多帶有自己時間戳的日志,我正試圖每月對日志進行計數。 這是使用 bin(30d) 的示例表和查詢: 我要的output: 我得到的 output: 我需要按月匯總,那么我該怎么做呢? 我接受 bin 大小作為不同值的參數,如 1h、1d、7d、10d 等。沒有 1 個月的時間跨度。 那么我怎樣 ...

Kusto series_outliers() 如何計算異常分數?

[英]How does Kusto series_outliers() calculate anomaly scores?

有人可以解釋 series_outliers() Kusto function 如何計算異常分數嗎? 我知道它使用帶有最小百分位數和最大百分位數的 Tukey 柵欄給定一個數字數組,但我想更詳細地了解步驟/算法是什么。 例如,給定這張表 我發現 Q1 = 2.4、Q3 = 15 和 IQR = 1 ...

Kusto 查詢:篩選嵌套 JSON 數組的值

[英]Kusto Query: filter values of nested JSON Array

我想通過過濾“值”數組來轉換表的內容,以便它只包含小於下限或大於上限的值。 所以結果應該是這樣的: 有array_sort函數,但我找不到array_filter或類似的東西。 如果有人能指出我正確的方向,我將不勝感激。 ...

Azure Data Explorer 使用自定義分隔符提取文本日志文件

[英]Azure Data Explorer ingest text Log Files with custom delimiter

我正在嘗試使用 Azure Data Explorer 獲取一些包含以空格分隔的值的日志(IIS 日志、POP3 日志、IMAP 日志)。 我本以為 Azure Data Explorer 會從文件中推斷出正確的模式作為單獨的列,但是它只標識包含整個數據的單個列。 原因似乎是 header 和元數 ...

如何強制 ADX 使用所有歷史數據從源更新

[英]How to force an ADX to update from source with all historical data

有誰知道強制子表從源表更新的方法? 這將是在創建子表時運行的一次性命令,然后我們有一個自動更新策略。 谷歌搜索建議嘗試這個,但是它會產生語法錯誤 謝謝::) ...

Kusto 查詢:連接具有不同數據類型的表

[英]Kusto Query: Join tables with different datatypes

您將如何根據名稱相同但數據類型不同的兩列連接兩個表? 在本例中,phone_number 在 table_1 中是 string,在 table_2 中是 int64。 當我嘗試將數據類型從字符串更改為 int 時,它會更改值! 謝謝 ...

從 azure 日志分析中的自定義日志中讀取數據

[英]Reading data from a custom log in azure log analytics

我已經通過客戶日志鏈接了以下日志 itno azure 日志分析環境 我現在想知道 X 的值(即客戶端),然后是操作,然后是結果以下代碼有效 但是所有結果列在 output 周圍都有“[]”,替換將刪除它,但看起來很笨拙 另外,我想知道這是否是最好的方法這是我要的簡歷 output 行動日期時間客戶 ...

2023-01-24 13:29:46   1   44    azure / kql  
Kusto - 向現有物化視圖添加列

[英]Kusto - Adding a column to an existing materialized view

我想向 Kusto 中的現有實體化視圖添加一列。 在這個例子中,我使用表test2 現在我想添加一列myval : 但是,我得到一個例外:無法創建實體化視圖“test_view2”:.alter 實體化視圖不支持更改分組依據表達式。 當前:'myid,mydate',新:'myid,mydate,m ...

KQL:使用 Sentinel 監視列表從結果中排除部分字符串

[英]KQL: Exclude partial string from results using Sentinel Watchlists

使用監視列表存儲要從該查詢中排除的域。 但是無法從結果中過濾掉監視列表中的域。 處理 SMTPS。 監視列表項目不包含“@”符號。 監視列表示例: 搜索鍵 SMPT hotmail.com hotmail.com gmail.com gmail.com 評論是我的嘗試。 如果需要的不是部分匹 ...


排序:
質量:
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM