如何同时将 kqlmagic 连接到多个 Log Analytics 工作区?
How do I connect kqlmagic to more than one Log Analytics workspace at the same time?
在我的 Jupyter 笔记本中,我想 运行 针对不同的 Sentinel 工作区执行相同的 KQL 查询,并将结果作为数据框进行比较。是否有一种简单的方法可以同时连接多个工作区,或者我是否需要在每次更改 KQL 查询时分别重新连接和查询每个工作区?
看看是否cross-workspace queries satisfy your requirements. And a bit more documentation here。跨工作区查询正是针对您所描述的。您使用 union 运算符来 link 两者 - 类似于您使用 union.
link 两个表的方式
从文章中截取:
workspace('<workspace-A>').SecurityEvent
| union workspace('<workspace-B>').SecurityEvent
实现它的选项很少。
- 如上所建议,使用跨工作区查询将导致 table 包含来自所有指定工作区的记录,然后您可以将其拆分为多个数据框。
- 创建多个连接,并一一查询。您可以在一个 %%kql 单元格中有多个查询(用空行分隔每个查询并将每个查询的结果分配给不同的 python 变量
- 编写 python 遍历工作区的代码,并使用 %kql(单行魔术)
- 编写 python 遍历工作区的代码,并使用 ipython 魔术 API
调用 Kqlmagic
- 编写 python 遍历工作区的代码,并使用 Kqlmagic 模块
(我是Kqlmagic的作者,)
在我的 Jupyter 笔记本中,我想 运行 针对不同的 Sentinel 工作区执行相同的 KQL 查询,并将结果作为数据框进行比较。是否有一种简单的方法可以同时连接多个工作区,或者我是否需要在每次更改 KQL 查询时分别重新连接和查询每个工作区?
看看是否cross-workspace queries satisfy your requirements. And a bit more documentation here。跨工作区查询正是针对您所描述的。您使用 union 运算符来 link 两者 - 类似于您使用 union.
从文章中截取:
workspace('<workspace-A>').SecurityEvent
| union workspace('<workspace-B>').SecurityEvent
实现它的选项很少。
- 如上所建议,使用跨工作区查询将导致 table 包含来自所有指定工作区的记录,然后您可以将其拆分为多个数据框。
- 创建多个连接,并一一查询。您可以在一个 %%kql 单元格中有多个查询(用空行分隔每个查询并将每个查询的结果分配给不同的 python 变量
- 编写 python 遍历工作区的代码,并使用 %kql(单行魔术)
- 编写 python 遍历工作区的代码,并使用 ipython 魔术 API 调用 Kqlmagic
- 编写 python 遍历工作区的代码,并使用 Kqlmagic 模块
(我是Kqlmagic的作者,)