KQL 分组依据或汇总计数依据查看其余列
KQL group by or summarize count by see the rest of the columns
我想请你帮忙做一个kql查询:
DeviceEvents
| distinct InitiatingProcessAccountUpn,DeviceName,DeviceId
| join DeviceTvmSoftwareVulnerabilities on $left.DeviceId == $right.DeviceId
| summarize count() by SoftwareName, DeviceId
问题是我使用了汇总计数,因为有很多软件版本,我只想查看每台机器的软件版本,它打勾了,但我无法重新添加缺少的列table.
我尝试使用相同的 table 重新加入,但没有成功。
我想看到的是一机一软件。
现在,如果我有这个,我可以看到软件的名称和 ID,但我还想在最终报告中看到其余列。
你知道我可以做得更好吗?
谢谢
你可以使用 take_any:
summarize take_any(SomeOtherColumns)
或者您可以将另一列添加为分组键,然后再以某种方式对其进行汇总和聚合(还有 take_any()、max()、arg_max()、make_list() 等)
我想请你帮忙做一个kql查询:
DeviceEvents
| distinct InitiatingProcessAccountUpn,DeviceName,DeviceId
| join DeviceTvmSoftwareVulnerabilities on $left.DeviceId == $right.DeviceId
| summarize count() by SoftwareName, DeviceId
问题是我使用了汇总计数,因为有很多软件版本,我只想查看每台机器的软件版本,它打勾了,但我无法重新添加缺少的列table.
我尝试使用相同的 table 重新加入,但没有成功。
我想看到的是一机一软件。 现在,如果我有这个,我可以看到软件的名称和 ID,但我还想在最终报告中看到其余列。
你知道我可以做得更好吗? 谢谢
你可以使用 take_any:
summarize take_any(SomeOtherColumns)
或者您可以将另一列添加为分组键,然后再以某种方式对其进行汇总和聚合(还有 take_any()、max()、arg_max()、make_list() 等)