Запрос Kusto для отображения третьего столбца после использования отличных для двух других столбцов - PullRequest
Новая
       67

Запрос Kusto для отображения третьего столбца после использования отличных для двух других столбцов

0 голосов
/ 15 апреля 2020

Привет. Я пытаюсь отобразить загруженное время в моем запросе ниже Kusto. Можете ли вы дать предложение 

find withsource=source in (cluster(X).database('y*').['TextFileLogs'])
where AttemptedIngestTime > ago(7d)
and FileLineContent contains "<li>Build Number:" 
| distinct source , FileLineContent //, AttemptedIngestTime
| extend databaseName = extract(@"""(oci-[^""]*)""", 1, source)
| extend BuildNumber = extract(@"([A-Z]\w*\.[0-9]\d*\.[0-9]\d*\.[0-9]\d*)",1,FileLineContent)
| extend StampVersion = extract(@"([0-9]\d*\.[0-9]\d*\.[0-9]\d*\.[0-9]\d*)",1,FileLineContent)
| extend cluster = X
//| extend IngestedTime = AttemptedIngestTime
|  summarize NumberOfRuns=count() by BuildNumber , StampVersion

1 Ответ

2 голосов
/ 15 апреля 2020

вы можете заменить distinct source, FileLineContent на summarize min(AttemptedIngestTime) by source, FileLineContent

  • или min на max, в зависимости от желаемой семантики)

тогда, вам все равно нужно решить, как вы будете агрегировать его в своем окончательном summarize (или как min(AttemptedIngestTime), или как группа по ключу, например, startofday(AttemptedIngestTime))

независимо от того, следует учитывать следующие запрос лучших практик и:

  1. заменить использование contains на has.
  2. заменить использование extract на parse.
...