Kusto语言。仅当前一个时间值不相同时才获取一个值
问题描述 投票:0回答:1
对我非常模糊的标题的背景:我有4个虚拟机将他们的日志发送到应用程序见解。我检索日志并使用kusto语言将其转换为表格。
结果表
Query:
AzureActivity
| where ResourceProvider == "Microsoft.Compute" and ActivityStatus == "Succeeded" and OperationName == "Deallocate Virtual Machine"
| project DeallocateResource=Resource ,DeallocatedDate=format_datetime(EventSubmissionTimestamp, 'yyyy-MM-dd') ,DeallocatedTime=format_datetime(EventSubmissionTimestamp, 'HH:mm:ss')
| join kind=fullouter
(
AzureActivity
| where ResourceProvider == "Microsoft.Compute" and ActivityStatus == "Succeeded" and OperationName == "Start Virtual Machine"
| project StartupResource=Resource ,StartDate=format_datetime(EventSubmissionTimestamp, 'yyyy-MM-dd') ,StartTime=format_datetime(EventSubmissionTimestamp, 'HH:mm:ss')
)
on $right.StartupResource == $left.DeallocateResource
| where StartDate == DeallocatedDate
| project Resource=coalesce(StartupResource, DeallocateResource) ,
Date=format_datetime(todatetime(coalesce(StartDate, DeallocatedDate)), 'dd/MM/yyyy' )
, StartTime= StartTime ,StopTime=DeallocatedTime ,
Runtime_Hours = format_datetime(datetime_add('minute',datetime_diff('minute', todatetime(strcat(StartDate , " " , DeallocatedTime )) , todatetime(strcat(StartDate , " " , StartTime ))), make_datetime(2017,1,1)), 'hh:mm')
| sort by Date asc , Resource asc
正如您所看到的,当VM在8:15启动并且在8:58停止并且运行时间为12:43小时时,运行时不正确,那么就会出现问题。在VM的活动日志中,我看到一些同事对VM做了一些奇怪的事情。并开始了几次(他再次启动它一分钟后,当你同时点击两次开始按钮时可能是一个小故障)。
活动日志
我确实找到了解决我问题的理论解决方案:我的查询需要更改,以便运行时甚至启动和停止时间只需在VM启动后跟随停止时才会记录在时间表中。但是atm我得到了所有的“启动虚拟机”和所有“停止虚拟机”,只需在表格中对它们进行排序,这会导致我的结果表中出现混乱。
但我似乎无法找到在我的查询中调整此方法的方法。要说启动虚拟机仅在当天的第一天(当前一个不是启动虚拟机时)或之前的日志是“解除分配虚拟机”,因为这不是通过订单启动 - 停止。一天的时间需要在公式中。仅当前一个是启动虚拟机时才获取解除分配虚拟机。并计算每次运行的运行时间而不是每天。
因为我对SQL和kusto都很陌生,而且我不是在这里找人向我提供解决方案或为我工作。我希望是否有人可以帮助我或指导我找到解决问题的正确方向。
提前致谢 !!!
1个回答
2
投票
投票
请检查以下方法是否让您更接近您的需求。
datatable(Resource:string, Event:string, EventTime:datetime)
[
'Machine1', 'Start', datetime(2019-04-12 00:00),
'Machine1', 'Stop', datetime(2019-04-12 01:00),
'Machine1', 'Start', datetime(2019-04-12 01:30),
'Machine1', 'Start', datetime(2019-04-12 01:45),
'Machine1', 'Stop', datetime(2019-04-12 11:45),
// Machine2
'Machine2', 'Start', datetime(2019-04-12 00:00),
'Machine2', 'Stop', datetime(2019-04-12 01:00),
'Machine2', 'Stop', datetime(2019-04-12 01:20),
'Machine2', 'Start', datetime(2019-04-12 01:30),
'Machine2', 'Stop', datetime(2019-04-12 11:45),
]
| order by Resource asc, EventTime asc
| extend IsSameResource = (prev(Resource) == Resource)
| extend PrevState = iif(IsSameResource, prev(Event), Event), CurrentState = Event
| extend RunTime = iif(PrevState == 'Start' and CurrentState == 'Stop', EventTime - prev(EventTime), time(null)),
StartTime = prev(EventTime)
| where isnotnull(RunTime)
| project Resource, StartTime, EndTime = EventTime, RunTime
[编辑]
相同的方法 - 但使用问题中提供的列:
let AzureActivity = datatable(ResourceProvider:string, Resource:string, ActivityStatus:string, OperationName:string, EventSubmissionTimestamp:datetime)
[
"Microsoft.Compute", 'Machine1', "Succeeded", 'Start Virtual Machine', datetime(2019-04-12 00:00),
"Microsoft.Compute", 'Machine1', "Succeeded", 'Deallocate Virtual Machine', datetime(2019-04-12 01:00),
"Microsoft.Compute", 'Machine1', "Succeeded", 'Start Virtual Machine', datetime(2019-04-12 01:30),
"Microsoft.Compute", 'Machine1', "Succeeded", 'Start Virtual Machine', datetime(2019-04-12 01:45),
"Microsoft.Compute", 'Machine1', "Succeeded", 'Deallocate Virtual Machine', datetime(2019-04-12 11:45),
// Machine2
"Microsoft.Compute", 'Machine2', "Succeeded", 'Start Virtual Machine', datetime(2019-04-12 00:00),
"Microsoft.Compute", 'Machine2', "Succeeded", 'Deallocate Virtual Machine', datetime(2019-04-12 01:00),
"Microsoft.Compute", 'Machine2', "Succeeded", 'Deallocate Virtual Machine', datetime(2019-04-12 01:20),
"Microsoft.Compute", 'Machine2', "Succeeded", 'Start Virtual Machine', datetime(2019-04-12 01:30),
"Microsoft.Compute", 'Machine2', "Succeeded", 'Deallocate Virtual Machine', datetime(2019-04-12 11:45),
];
AzureActivity
| where ResourceProvider == "Microsoft.Compute"
| where OperationName in ('Deallocate Virtual Machine','Start Virtual Machine')
| where ActivityStatus == 'Succeeded'
| order by Resource asc, EventSubmissionTimestamp asc
| extend IsSameResource = (prev(Resource) == Resource)
| extend PrevState = iif(IsSameResource, prev(OperationName), OperationName), CurrentState = OperationName
| extend RunTime = iif(PrevState == 'Start Virtual Machine' and CurrentState == 'Deallocate Virtual Machine', EventSubmissionTimestamp - prev(EventSubmissionTimestamp), time(null)),
StartTime = prev(EventSubmissionTimestamp)
| where isnotnull(RunTime)
| project Resource, StartTime, EndTime = EventSubmissionTimestamp, RunTime
最新问题
- 如何检查 url 字符串中是否存在 javascript
- 四舍五入到最接近的 5 倍数(向上或向下)
- Jquery Timepicker 设置初始时间
- 通过bouncycastle读取PKCS#8格式的加密私钥,Java在docker容器中失败
- 外部直通网络 LoadBalancer 是否支持 GKE 的 BackendConfig 配置?
- 为什么我的自定义字体不再在线加载?
- 节点服务器因未捕获的异常而崩溃
- 聊天机器人未正确部署到 MS Azure
- 在 Azure 上使用 Docker Buildkit 和 az acr build
- 如何在 TypeScript 中向全局对象或数组添加 getter(扩展)
- 无需数组即可迭代对象
- 如何查看docker-compose healthcheck日志?
- CosmosDB NoSQL - 过滤两个 JSON 属性以获取格式化为数字和字符串的 ID 列表
- Udemy 错误:未捕获 [错误:元素类型无效:需要一个字符串(对于内置组件)
- 视图模型文件中的我的 ObservableCollection<T> 无法被其他文件看到
- 使用register_hook()冻结一部分权重张量并不能加快训练速度
- Vega Lite:有没有办法在折叠图上有两层
- 函数不输出值
- 在 Django Rest Framework 序列化程序的验证方法中访问深层嵌套属性时出现问题
- 尝试在 while 循环中连续读取管道时脚本陷入困境
© www.soinside.com 2019 - 2024. All rights reserved.