Azure Log Analytics KQL - 上次收到的日志(最新)
Azure Log Analytics KQL - Last log received (most recent)
我刚开始使用 KQL,正在努力寻找一种方法来获取特定日志值的最新 status/value。我们有很多机器,我只想知道报告的最新值,就像这样(伪代码)。所以我最终得到了不同计算机的列表及其状态以及它们上次报告的时间。
例如:
ProtectionStatus
| project Computer, ProtectionStatus, OSName, TimeGenerated
| where TimeGenerated = MostRecent
谁能给我指出正确的方向?
您要查找的内容称为 arg_max()
(参见 doc)。
使用方法如下:
ProtectionStatus
| summarize arg_max(TimeGenerated, ProtectionStatus, OSName) by Computer
内容如下:return 来自 ProtectionStatus
table 的记录,其中对于 Computer
的每个值,我想查看 ProtectionStatus
的值] 和 OSName
,其中 TimeGenerated
具有最大值(对于此特定 Computer
)。
我刚开始使用 KQL,正在努力寻找一种方法来获取特定日志值的最新 status/value。我们有很多机器,我只想知道报告的最新值,就像这样(伪代码)。所以我最终得到了不同计算机的列表及其状态以及它们上次报告的时间。
例如:
ProtectionStatus
| project Computer, ProtectionStatus, OSName, TimeGenerated
| where TimeGenerated = MostRecent
谁能给我指出正确的方向?
您要查找的内容称为 arg_max()
(参见 doc)。
使用方法如下:
ProtectionStatus
| summarize arg_max(TimeGenerated, ProtectionStatus, OSName) by Computer
内容如下:return 来自 ProtectionStatus
table 的记录,其中对于 Computer
的每个值,我想查看 ProtectionStatus
的值] 和 OSName
,其中 TimeGenerated
具有最大值(对于此特定 Computer
)。