Logging Kusto嵌套分组
我试图在日志分析中检索、统计和分组Azure广告登录日志中的数据 indata包含很多属性,但我感兴趣的是ClientAppUsed和AppDisplayname indata如下所示: 对象1 ⮡ 客户端应用程序:浏览器 ⮡ AppDisplayName:Azure广告 对象2 ⮡ 客户端应用程序:浏览器 ⮡ AppDisplayName:Office客户端应用程序 对象3 ⮡ 客户应用:流行音乐 ⮡ AppDisplayName:Microsoft Exchange Online 我想将ClientAppUsed类型分组在一起,并计算这些类型下AppDisplayName的每次出现次数。 像这样: 组浏览器 ⮡ AppDisplayName:Azure广告 ⮡ Azure广告计数 ⮡ AppDisplayName:Office客户端应用程序 ⮡ Office客户端应用程序计数 团体流行音乐 ⮡ AppDisplayName:Microsoft Exchange Online ⮡ Microsoft Exchange Online的计数 我所做的是使用下面的查询对其进行计数,但我希望将它们分组在一起,而不是将AppDisplayName的每次出现显示为一行:Logging Kusto嵌套分组,logging,azure-active-directory,analytics,azure-data-explorer,kql,Logging,Azure Active Directory,Analytics,Azure Data Explorer,Kql,我试图在日志分析中检索、统计和分组Azure广告登录日志中的数据 indata包含很多属性,但我感兴趣的是ClientAppUsed和AppDisplayname indata如下所示: 对象1 ⮡ 客户端应用程序:浏览器 ⮡ AppDisplayName:Azure广告 对象2 ⮡ 客户端应用程序:浏览器 ⮡ AppDisplayName:Office客户端应用程序 对象3 ⮡ 客户应用:流行音乐 ⮡ AppDisplayName:Microsoft Exchange Online 我想将Cl
SignInLogs | summerize count() by ClientAppUsed, AppDisplayName
感谢您的帮助 还不完全清楚您感兴趣的输出模式是什么,但以下是一些您可以尝试的替代方案(或者,用预期输出模式和内容的更清晰描述更新您的问题) (一) (二)
这就是我一直在寻找的,正如Yoni所说:
SignInLogs
| summarize count() by ClientAppUsed, AppDisplayName
| summarize makelist(pack("AppDisplayName", AppDisplayName, "Count", count_)) by ClientAppUsed
datatable(ClientAppUsed:string, AppDisplayName:string)
[
'Browser', 'Azure AD',
'Browser', 'Office Client App',
'POP', 'Microsoft Exchange Online',
]
| summarize count() by ClientAppUsed, AppDisplayName
| summarize make_list(pack("AppDisplayName", AppDisplayName, "Count", count_)) by ClientAppUsed
SignInLogs
| summarize count() by ClientAppUsed, AppDisplayName
| summarize makelist(pack("AppDisplayName", AppDisplayName, "Count", count_)) by ClientAppUsed