Azure日志分析查询，用于在事件计数大于X时显示计算机_Azure_Azure Log Analytics

Azure日志分析查询，用于在事件计数大于X时显示计算机

azure

Azure日志分析查询，用于在事件计数大于X时显示计算机,azure,azure-log-analytics,Azure,Azure Log Analytics,在过去的几个小时里，我一直在尝试构建一个查询，以显示/列出生成了10多个特定id事件的计算机。例如，查询列出发生事件2222的所有计算机，但我希望查询仅在过去48小时内报告了10多个相同id的事件时才列出计算机。若并没有一台计算机报告了超过10个特定id的事件，那个么结果就是空的 Event | where Source contains "service" | where EventID == 2222 另一个示例显示发生了2222事件的计算机的结果以及发生了多少次，但如果计数大于10，则

在过去的几个小时里，我一直在尝试构建一个查询，以显示/列出生成了10多个特定id事件的计算机。例如，查询列出发生事件2222的所有计算机，但我希望查询仅在过去48小时内报告了10多个相同id的事件时才列出计算机。若并没有一台计算机报告了超过10个特定id的事件，那个么结果就是空的

Event | where Source contains "service" | where EventID == 2222

另一个示例显示发生了2222事件的计算机的结果以及发生了多少次，但如果计数大于10，则仍然缺少显示结果

 Event
    | where Source contains "service"  | where EventID == 2222 
    | summarize count() by  Computer

这背后的逻辑是制造某种警报。一个单一的事件并不是唯一重要的，但如果它发生得更多，它就开始起作用。有什么建议吗？

通过以下方法最终实现了：

Event
    | where Source contains "service"  | where EventID == 2222 
    | summarize count() by  Computer
    | where count_ > 10

干得好。但是我们通常给它一个

有意义的名称

，而不是像

count\uu

这样的自动生成的名称

您可以在

summary

语句中添加一个有意义的名称，如

summary TotalCount=count（）（由计算机

）

完整查询如下所示：

Event
    | where Source contains "service"  | where EventID == 2222 
    | summarize TotalCount=count() by  Computer
    | where TotalCount > 10

结果是：