小编Yon*_*i L的帖子

我需要一个查询，它将返回字段的特定不同值的所有最新条目。示例我有 2 列的表：ComputerName, date。我想为它们中的每一个返回所有不同的值ComputerName和最新的值date。

我想有一个指标的报表和通过计数在LogAnalytics通过一些列的日期。

到目前为止，我可以使用 -

Perf
| summarize sum(CounterValue) by TimeGenerated, Computer

这给了我下面的截图结果。但我想要每天的格式。就像是 -

Date,Computer,sum_Count
01-17-2020,ABC,100
01-16-2020,ABC,132
01-17-2020,XYZ,700
01-16-2020,XYZ,800

因此，我是Kusto的新手，我试图在kusto查询中获取过去21天的最小和最大日期，我想投影这些最小和最大日期。

如何修改此简单查询，以获取过去21天的最小日期和最大日期？

customEvents
| where timestamp >= ago(21d)
| project timestamp

有人能告诉我为什么 Log Analytics 中的这个 Kusto 语句失败并显示“找不到表格语句”吗？

let eventcnt = Event
| where TimeGenerated > ago(10m)

我可以运行这个查询并返回一个数据表：

Event
| where TimeGenerated > ago(10m)

基本上我想将一组字段值传递给一个函数，以便我可以使用 in/!in 运算符。我更希望能够使用先前查询的结果，而不必手动构造一个集合。

如：

let today = exception | where EventInfo_Time > ago(1d) | project exceptionMessage;
MyAnalyzeFunction(today)

那么 MyAnalyzeFunction 的签名是什么？

使用 parse_json 解析 Kusto 集群中列中的 JSON 数据后，我注意到仍有更多 JSON 格式的数据嵌套在生成的投影值中。我需要访问该信息并使 JSON 数据的每一部分都成为自己的列。

我试图遵循这个 SO 帖子中的答案（在 kusto 查询中解析 json），但没有成功地获得正确的语法。

myTable 
| project 
Time, 
myColumnParsedJSON = parse_json(column) 
| project myColumnParsedNestedJSON = parse_json(myColumnParsedJSON.nestedJSONDataKey)

我希望结果是投影列，每个列都命名为每个键，它们各自的值显示在一行记录中。