Azure Log Analytics KQL - 上次收到的日志(最新)

Azure Log Analytics KQL - Last log received (most recent)

我刚开始使用 KQL,正在努力寻找一种方法来获取特定日志值的最新 status/value。我们有很多机器,我只想知道报告的最新值,就像这样(伪代码)。所以我最终得到了不同计算机的列表及其状态以及它们上次报告的时间。

例如:

ProtectionStatus
| project Computer, ProtectionStatus, OSName, TimeGenerated
| where TimeGenerated = MostRecent

谁能给我指出正确的方向?

您要查找的内容称为 arg_max()(参见 doc)。

使用方法如下:

ProtectionStatus
| summarize arg_max(TimeGenerated, ProtectionStatus, OSName) by Computer

内容如下:return 来自 ProtectionStatus table 的记录,其中对于 Computer 的每个值,我想查看 ProtectionStatus 的值] 和 OSName,其中 TimeGenerated 具有最大值(对于此特定 Computer)。