使用 azure 数据浏览器 https://dataexplorer.azure.com/ 我运行了下面的两个查询。
第一次查询(总计数):
AppRequests | where TimeGenerated >= datetime("2024-03-28") and TimeGenerated < datetime("2024-03-29") | count在这个查询中,我们直接统计所有记录,没有进行任何汇总。它提供指定时间范围内的事件总数。
第二个查询:
AppRequests| where TimeGenerated >= datetime("2024-03-28") and TimeGenerated < datetime("2024-03-29")在此更正后的查询中,我们根据与第一个查询相同的时间范围来过滤 AppRequest,而不进行任何汇总。
我希望第二个查询的记录总数与第一个查询的结果集匹配。但我还是有区别的。第一个查询得到的总数超过 80k,而第二个查询得到大约 35k 的记录。 这怎么可能?
当每小时分解该查询时
AppRequests | where TimeGenerated >= datetime("2024-03-28 17:00:00") and TimeGenerated < datetime("2024-03-28 17:59:59")有一个结果截断,它限制了您在 KQL 查询中可以获得的结果数量。看看这是否是限制您结果的原因。
如果您想禁用结果截断,请添加
set notruncation;
AppRequests| where TimeGenerated >= datetime("2024-03-28") and TimeGenerated < datetime("2024-03-29")