如何使用 Kusto return 来自 table 的 max() 行,同时显示最大分组中未使用的其他列

How to use Kusto to return a max() row from a table, while showing other columns not used in the max grouping

给定以下日志分析 KQL 查询:

SigninLogs 
| where ResultType == 0 
| summarize max(TimeGenerated) by UserPrincipalName

我需要显示 SigninLogs table 中那些选定行的其他列。我尝试了不同的方法但没有成功。再次加入同一个 table 似乎不可行,因为加入似乎只能使用单个列。使用 in 的其他方法失败,因为所需的列在上述源查询中不可用。

您可以使用arg_max()聚合函数:https://docs.microsoft.com/en-us/azure/data-explorer/kusto/query/arg-max-aggfunction