我正在尝试从Azure AD登录日志分析中的日志中检索,计数和分组数据。
indata包含很多属性,但是我感兴趣的是ClientAppUsed和AppDisplaynameindata看起来像这样:
对象1
⮡ClientAppUsed:浏览器
⮡AppDisplayName:Azure AD
对象2
⮡ClientAppUsed:浏览器
⮡AppDisplayName:Office客户端应用程序
对象3
⮡ClientAppUsed:POP
⮡AppDisplayName:Microsoft Exchange Online
我想将ClientAppUsed类型分组在一起,并在这些类型下计算AppDisplayName的每次出现次数。像这样:
群组浏览器
⮡AppDisplayName:Azure AD
⮡Azure AD的计数
⮡AppDisplayName:Office客户端应用程序
⮡Office客户端应用程序计数
Group POP
⮡AppDisplayName:Microsoft Exchange Online
⮡Microsoft Exchange Online的数量
我设法通过以下查询对它进行计数,但我希望将它们分组在一起,而不是将AppDisplayName的每个出现都显示为单行:
SignInLogs | summerize count() by ClientAppUsed, AppDisplayName
感谢您的帮助!
尚不完全清楚您感兴趣的输出模式是什么,但是您可以尝试以下几种选择(或者使用更清晰的预期输出模式和内容描述来更新您的问题)
1)
datatable(ClientAppUsed:string, AppDisplayName:string)
[
'Browser', 'Azure AD',
'Browser', 'Office Client App',
'POP', 'Microsoft Exchange Online',
]
| summarize count() by ClientAppUsed, AppDisplayName
| summarize make_bag(pack(AppDisplayName, count_)) by ClientAppUsed
2)
datatable(ClientAppUsed:string, AppDisplayName:string)
[
'Browser', 'Azure AD',
'Browser', 'Office Client App',
'POP', 'Microsoft Exchange Online',
]
| summarize count() by ClientAppUsed, AppDisplayName
| summarize make_list(pack("AppDisplayName", AppDisplayName, "Count", count_)) by ClientAppUsed