我是Kusto的新手,我正尝试基于"ProcessAccount Values"创建二进制标志(在列"RemoteURL"中)。如果进程帐户包含c、r、n或3的任意组合,则"RemoteUrl"应为True。否则应为False(请注意,如果进程帐户除了c、r、n之外还有任何其他条目,则RemoteUrl应为False)
到目前为止,我所拥有的如下(这只检查c,r,n是否存在,但不排除除了c,r,n之外还存在其他帐户的情况:
let type = dynamic(["c", "r", "n"]);
DeviceNetworkEvents
| where RemoteUrl in~ (type)
| project TimeGenerated, DeviceName, ProcessAccount, RemoteUrl- 输入表格为:**
| 生成时间|器械名称|进程帐户|
| - ------|- ------|- ------|
| 2023年1月1日|设备1|["一"、"三"、"一"、"n"]|
| 2023年1月1日|设备2|["c"、"n"、"r"]|
| 2023年1月1日|设备3|["n"]|
| 2023年1月1日|设备4|["r","n"]|
| 2023年1月1日|设备5|["s"、"c"、"n"、"r"]|
- 预期输出表为:**
| 生成时间|器械名称|进程帐户|远程URL|
| - ------|- ------|- ------|- ------|
| 2023年1月1日|设备1|["一"、"三"、"一"、"n"]|错误|
| 2023年1月1日|设备2|["c"、"n"、"r"]|正确|
| 2023年1月1日|设备3|["n"]|正确|
| 2023年1月1日|设备4|["r","n"]|正确|
| 2023年1月1日|设备5|["s"、"c"、"n"、"r"]|错误|
1条答案
按热度按时间eeq64g8w1#
Fiddle