m / Power Query:如何将表列转换为可读文本列?
问题描述 投票:2回答:1
我正在处理PowerShell审核日志,我从XML转储导入了该日志。
每行都是PowerShell事件,包括各种字段,例如:
Attribute:Cmdlet(执行的命令的名称)Attribute:Caller(执行命令的管理员的用户名)CmdletParameters.Parameter(为命令提供的输入参数)
从截图中可以看出,CmdletParameters.Parameter是一个表格列。
这是我试图扩展的专栏。
每个PowerShell事件都可以包含无限数量的参数。 (此数据集中的最大值是单个事件的17个参数。)
例如,这是一个带有两个参数的命令:
Set-Mailbox -Identity Username1 -AccountDisabled FALSE
在此示例中,在CmdletParameters.Parameter表列中,将有两行:
我想创建两个名为ParameterNames和ParameterValues的自定义列
在此示例中,这些自定义列将包含文本:
编辑: 评论者请求了原始XML数据的示例。 我已经包含了两个事件行,其中包含私人信息。
<?xml version="1.0" encoding="utf-16"?>
<SearchResults>
<Event Caller="AdminUser1" Cmdlet="New-AdminAuditLogSearch" RunDate="2019-04-04T21:49:52+00:00" Succeeded="true" ObjectModified="ObjectUUID1" ExternalAccess="false" OriginatingServer="ServerName1 (IPAddress1)" ClientIP="[IPAddress2]:Port2">
<CmdletParameters>
<Parameter Name="StartDate" Value="4/3/2019 12:00:00 AM" />
<Parameter Name="EndDate" Value="4/4/2019 12:00:00 AM" />
<Parameter Name="ExternalAccess" Value="True" />
<Parameter Name="StatusMailRecipients" Value="AdminUser1" />
<Parameter Name="Name" Value="External admin audit log" />
</CmdletParameters>
</Event>
<Event Caller="AdminUser2" Cmdlet="New-AdminAuditLogSearch" RunDate="2019-04-04T21:33:08+00:00" Succeeded="true" ObjectModified="ObjectUUID2" ExternalAccess="false" OriginatingServer="ServerName2 (IPAddress3)" SessionId="ObjectUUID3" ClientIP="[IPAddress4]:Port4">
<CmdletParameters>
<Parameter Name="StartDate" Value="4/3/2019 12:00:00 AM" />
<Parameter Name="EndDate" Value="4/4/2019 12:00:00 AM" />
<Parameter Name="StatusMailRecipients" Value="AdminUser2" />
</CmdletParameters>
</Event>
</SearchResults>
额外奖励:
如上所述,此数据集中每行最多有17个参数。
如果我还要为ParameterName1..ParameterName17创建17列,我怎么能填充这些列?
是否更容易将表列首先转换为单个文本列,然后将该文本解析为单独的列?
1个回答
投票
我认为这里最好的选择是将这些参数表扩展到新行,然后在Attribute:Name列上进行透视。
您应该只需单击GUI中的按钮即可完成此操作,但这是M代码的样子:
let
XMLTable = <XML Table Here>,
#"Expanded CmdletParameters" = Table.ExpandTableColumn(XMLTable, "CmdletParameters", {"Parameter"}, {"Parameter"}),
#"Expanded Parameter" = Table.ExpandTableColumn(#"Expanded CmdletParameters", "Parameter", {"Attribute:Name", "Attribute:Value"}, {"Attribute:Name", "Attribute:Value"}),
#"Pivoted Column" = Table.Pivot(#"Expanded Parameter", List.Distinct(#"Expanded Parameter"[#"Attribute:Name"]), "Attribute:Name", "Attribute:Value")
in
#"Pivoted Column"
请注意,在Attribute:Name上进行旋转时,我选择Attribute:Value作为值列,而不选择高级选项下的聚合。
最终结果应该是这样的(除了我删除了一些其他Attribute:列的可见性。
投票
如果您的第3张图像是您想要的输出,则可以通过在自定义列中使用Text.Combine来实现。
下面是您需要为2列添加的查询步骤
Add_Parameter_Names= Table.AddColumn(#"Previous Step", "ParameterNames", each Text.Combine([CmdletParameters.Parameter][Attribute:Name], ", "))
Add_Parameter_Values = Table.AddColumn(#"Add_Parameter_Names", "ParameterValues", each Text.Combine([CmdletParameters.Parameter][Attribute:Value], ", "))
注意:如果在Attribute:Name / Attribute:Value列中有null值,我建议添加条件列。
至于你的奖金问题,我认为一旦你检查了这个输出,你就可以自己决定。如果您需要,请发表评论。
最新问题
- 使用 Prometheus 监控 Spark 3 应用程序
- 建议使用轻量级键值存储在许多主机之间分发状态
- 页面/尺寸转换的偏移/限制
- Switch 语句和 jQuery hasClass 函数
- BoringSSL-GRPC 不支持目标“arm64-apple-ios15.0”的选项“-G”
- 如何找到网络服务器支持的所有 HTTP 方法的列表?
- Laravel Vue 在 axios post 之后更新用户数据的 page prop
- 注册 Laravel 中间件而不使其全局化
- 使用 PowerShelll 将 Microsoft Edge 设置为默认浏览器
- Typescript - 如果数组包含“x”,那么它还必须包含“y”和“z”
- 从外部关闭 QuickFIX/J 应用程序
- Word 无法撤消此操作。你想继续吗?
- Play 支持哪种 OpenID 风格
- (vue)未捕获的内部错误:递归太多:无法使用axios
- 如何在 Node/Javascript 中延迟 API 调用?
- 如何授权业务中心API
- 从另一个 php 文件调用未定义的函数
- 如何在assertj中不带空字段的情况下以任意顺序比较列表?
- 如何更正 Docusaurus 生成的指向重定向的规范 URL?
- .NET Core 和 .NET 之间的二进制序列化