KQL 从其中一列中具有重复值的输出字符串中删除
KQL remove from the output strings which have a duplicated value in one of the columns
假设我有一个 table,其中包含有关通过某些门的用户的记录。
如果有关于他们通过第二扇门的记录,我想从输出中删除所有包含关于用户通过第一扇门的记录的字符串。
summarise by distinct无法使用,因为我需要保留Timestamp。
PS 实际上,事件注册时间相差千分之一秒。那是我不想只使用后来的事件。在我看来更正确的做法是,如果有第二类事件,只留下第一类事件的记录。
datatable(Name:string,Source:string,Timestamp:timespan)
[
'Jack', '1StDoor', '1:01'
,'Jill', '1StDoor', '1:02'
,'Jill', '2ndDoor', '1:03'
,'Mike', '1StDoor', '1:04'
,'John', '1StDoor', '1:05'
,'John', '2ndDoor', '1:06'
]
| summarize arg_max(Source, *) by Name
Name
Source
Timestamp
Jack
1StDoor
01:01:00
Jill
2ndDoor
01:03:00
Mike
1StDoor
01:04:00
John
2ndDoor
01:06:00
假设我有一个 table,其中包含有关通过某些门的用户的记录。
如果有关于他们通过第二扇门的记录,我想从输出中删除所有包含关于用户通过第一扇门的记录的字符串。
summarise by distinct无法使用,因为我需要保留Timestamp。
PS 实际上,事件注册时间相差千分之一秒。那是我不想只使用后来的事件。在我看来更正确的做法是,如果有第二类事件,只留下第一类事件的记录。
datatable(Name:string,Source:string,Timestamp:timespan)
[
'Jack', '1StDoor', '1:01'
,'Jill', '1StDoor', '1:02'
,'Jill', '2ndDoor', '1:03'
,'Mike', '1StDoor', '1:04'
,'John', '1StDoor', '1:05'
,'John', '2ndDoor', '1:06'
]
| summarize arg_max(Source, *) by Name
| Name | Source | Timestamp |
|---|---|---|
| Jack | 1StDoor | 01:01:00 |
| Jill | 2ndDoor | 01:03:00 |
| Mike | 1StDoor | 01:04:00 |
| John | 2ndDoor | 01:06:00 |