Iva*_*van 1 windows-defender kql
我正在尝试通过 Kusto/KQL 聚合生成帐户名称列表(已尝试、失败和成功)。
预期结果很简单——一列字符串值,按字母升序排列。
由于它在 10k 结果后切断了我的联系,我现在正在寻找对该结果集进行分块/分页的方法。
对于每个页面请求,我想我应该获取列表中的姓氏并将其附加到下一个查询 ( | where AccountName > "bob.saget")。
库斯托不让我这样做;它会产生一个Cannot compare values of types string and string. Try adding explicit casts错误。
虽然您最初的问题(如何按字典顺序比较字符串)的答案是使用该strcmp()函数,但您真正想要的是分页,这是另一个故事了:)
在 Kusto 中进行分页的正确路径是使用存储的查询结果:
像这样检索第一页:
.set stored_query_result GiveItSomeName with (previewCount = 100) <|
// Your query comes here
DeviceLogonEvents
| where isnotempty(AccountName)
| summarize by AccountName
| order by AccountName asc
// Add a row number
| project RowNum = row_number()
像这样检索下一页:
stored_query_result("GiveItSomeName")
| where RowNum between (100 .. 200)
ETC。
| 归档时间: |
|
| 查看次数: |
1463 次 |
| 最近记录: |