小编Sla*_*k N的帖子

我正在使用 Kibana Discover 创建已保存的搜索。在屏幕上我可以手动选择时间范围（默认为“最后 15 分钟”）。如果我选择“过去 24 小时”并刷新搜索，则效果很好。但是，当我保存搜索时，时间范围信息不会保存。每当我打开 Kibana Discover 并打开我保存的搜索时，时间范围始终是默认值（最近 15 分钟）。

我尝试在 KQL 查询中添加不同的条件（如下），但无济于事。:^(

 and @timestamp >= "now-24h"
 and @timestamp >= now-24h
 and timestamp >= "now-24h"
 and @timestamp >= "now-1d/d"
 etc.

我还尝试使用该@timestamp字段“添加过滤器”。唯一可用的运算符有：is not, is one of, is not one of, is between, is not between, exists, does not exist。
所以，我尝试了between now-24h并且now。然而，没有结果符合标准。

但是，如果我手动将时间范围更改为“过去 30 天”，那么我的过滤器就会起作用！

问题

如何在我的 KQL 保存的搜索中包含时间范围（例如过去 24 …

我有一个 http 响应表，包括时间戳、服务名称和我想使用 KQL/Kusto 查询的 http 响应代码。

我的目标是有一个表格告诉我“在过去 5 分钟内特定服务有多少特定类型（2xx、4xx 等）的 http 响应”

我想通过 5 分钟的时间段和ResponseType（基本上是响应代码类）来总结行- 但我似乎无法让它工作。当我添加 count(ResponseType)到 summary 子句时，它返回错误消息Function 'count' cannot be invoked in current context。

我的 KQL 看起来像这样

InsightsMetrics 
| extend Tags = parse_json(Tags)
| extend Responsecode = tostring(Tags.["code"]) 
| extend ResponseType = strcat(substring(Responsecode, 0, 1), "XX")
| extend Service = tostring(Tags.["service"]) 
| where TimeGenerated >= now(-4h)
| where Namespace == "prometheus"
| where Name contains "traefik_service_requests_total"
| project TimeGenerated, Responsecode, Service, ResponseType …

我有一列string代表日期时间，其中月份名称是 3 个字母，还有时区信息。我如何将其转换为datetime？

“2020 年 7 月 13 日 23:05:58 GMT” --> 2020-07-13T23:05:58.000

我正在开发一个逻辑应用程序，它将创建一个错误，我必须在工作项中显示描述，如下所示：

{
    "Description":
    {
        "Title":"", 
        "Validation step":"",
        "OperationActivityId:":"",
        "Environment detailsLink":"",
        "Please click here":"",
        "ErrorMessage":""
    }
}

我正在查询上述所有字段作为 Kusto(KQL) 查询的结果并获取所有必填字段，但我不知道如何将其转换为 Json。谁可以帮我这个事..？

提前致谢。

我在天蓝色表中有一列“苹果”，其中包含以下字符串：“颜色：红色，尺寸：小”。

现在的情况：

|-----------------------|
| Apples                |
|-----------------------|
| Colour:red,Size:small |
|-----------------------|

期望的情况：

|----------------|
| Colour | Size  |
|----------------|
| Red    | small |
|----------------|

请帮忙

我有一个名为tab1：

Timestamp    Username.   sessionid
12-12-2020.  Ravi.       abc123
12-12-2020.  Hari.       oipio878
12-12-2020.  Ravi.       ytut987
11-12-2020.  Ram.        def123
10-12-2020.  Ravi.       jhgj54
10-12-2020.  Shiv.       qwee090
10-12-2020.  bob.        rtet4535
30-12-2020.  sita.       jgjye56

我想计算每天不同 s 的数量Username，以便输出为：

day.            count
10-12-2020.     3
11-12-2020.     1
12-12-2020.     2
30-12-2020.     1

尝试查询：

tab1
    | where timestamp > datetime(01-08-2020)
    | range timestamp from datetime(01-08-2020) to now() step 1d
    | extend day = dayofmonth(timestamp)
    | distinct Username
    | count
| project day, count