将相似的列结果分组为 1 行 - KQL - Azure

Question

我不知道怎么转：

20.20.5.4   vuxml.freebsd.org   
20.20.5.20  vuxml.freebsd.org   
20.20.8.7   edgedl.me.gvt1.com  
20.20.8.7   dl.google.com   
20.20.8.7   redirector.gvt1.com 
20.20.32.8  armmf.adobe.com

进入这个：

20.20.5.4   vuxml.freebsd.org   
20.20.5.20  vuxml.freebsd.org   
20.20.8.7   edgedl.me.gvt1.com  
            dl.google.com   
            redirector.gvt1.com 
20.20.32.8  armmf.adobe.com

本质上，我试图总结每个 IP 地址的目的地（将相似的 IP 地址分组，而不是每个结果显示 20.20.8.7 3 次）我不知道要传递什么聚合来“总结”，任何想法或文档链接都会有所帮助。

Answer 1

您可以尝试使用 make_list() 聚合函数：https://docs.microsoft.com/en-us/azure/data-explorer/kusto/query/makelist-aggfunction

datatable(ip_address:string, destination:string)
[
    '20.20.5.4',  'vuxml.freebsd.org',
    '20.20.5.20', 'vuxml.freebsd.org',   
    '20.20.8.7',  'edgedl.me.gvt1.com', 
    '20.20.8.7',  'dl.google.com',
    '20.20.8.7',  'redirector.gvt1.com',
    '20.20.32.8', 'armmf.adobe.com',
]
| summarize make_list(destination) by ip_address

ip_address	list_destination
20.20.5.4	[ "vuxml.freebsd.org" ]
20.20.5.20	[ "vuxml.freebsd.org" ]
20.20.8.7	[ "edgedl.me.gvt1.com", "dl.google.com", "redirector.gvt1.com" ]
20.20.32.8	[ "armmf.adobe.com" ]

将相似的列结果分组为 1 行 - KQL - Azure

Group similar column results into 1 row - KQL - Azure

kql

azure-sentinel