KQL 中的周边事件或多条件匹配
Surrounding Events in KQL or Matching on Multiple Conditions
来自 ELK 背景,Kibana 有一些不错的功能,您可以在其中查看您想要的任何记录的周围事件https://www.elastic.co/guide/en/kibana/current/discover-document-context.html,即查看 5 个前面的事件和 5 个进行中的事件。
Kusto 查询语言中是否存在类似的东西?
编辑:我还应该提到这个要求,因为我意识到它可能存在,但形式不同。
我正在寻找需要 全部 发生在特定时间段内的几个事件,即前 5 分钟。
示例;如果 EventID 的 1、2 和 3 显示,我不感兴趣。但是,如果 1、2、3 和 4 显示(彼此在 X 分钟内),那么我希望我的查询能够选择它。
如有任何提示或提示,我们将不胜感激。
看来Time Window Join是我需要的-https://docs.microsoft.com/en-us/azure/data-explorer/kusto/query/join-timewindow
来自 ELK 背景,Kibana 有一些不错的功能,您可以在其中查看您想要的任何记录的周围事件https://www.elastic.co/guide/en/kibana/current/discover-document-context.html,即查看 5 个前面的事件和 5 个进行中的事件。
Kusto 查询语言中是否存在类似的东西?
编辑:我还应该提到这个要求,因为我意识到它可能存在,但形式不同。
我正在寻找需要 全部 发生在特定时间段内的几个事件,即前 5 分钟。
示例;如果 EventID 的 1、2 和 3 显示,我不感兴趣。但是,如果 1、2、3 和 4 显示(彼此在 X 分钟内),那么我希望我的查询能够选择它。
如有任何提示或提示,我们将不胜感激。
看来Time Window Join是我需要的-https://docs.microsoft.com/en-us/azure/data-explorer/kusto/query/join-timewindow