Comment indexer une colonne dans une requête Kusto après un pivot pour les alertes de journal Azure

user2793857

J'ai la requête kusto suivante fonctionnant comme une requête de journal dans Azure

traces
| where message contains "SWSE"
| extend d=parse_json(message)
| extend Info=tostring(d.message)
| where Info startswith "Borrow Token" or Info startswith "Return Token" 
| extend  tAction = tostring( split(Info,' ',0)[0])
| summarize count_=count() by tAction, timebox=bin(timestamp, 10m)
| evaluate pivot(tAction,sum(count_))
| extend  diff = abs(Borrow-Return)
| where diff>2

résultant en

Cependant, cette ligne est marquée comme une erreur lorsqu'elle est importée dans les alertes de journal, et non lorsqu'elle est exécutée sur les journaux Azure.

| extend  diff = abs(Borrow-Return)

avec l'erreur:

The request had some invalid properties

Existe-t-il une autre façon de référencer ces colonnes?

Yoni

le schéma de sortie du pivot()plugin n'est pas déterministe et dépend des données d'entrée - vous devrez peut-être l'utiliser column_ifexists()pour les cas où la colonne que vous attendez n'existe pas dans le schéma de sortie.

doc: https://docs.microsoft.com/en-us/azure/data-explorer/kusto/query/columnifexists

par exemple:

| extend diff = abs(column_ifexists("Borrow", 0) - column_ifexists("Return", 0))

Comment indexer une colonne dans une requête Kusto après un pivot pour les alertes de journal Azure

Articles connexes

liste