Contribute in GitHub: オンラインでの編集 ルックアップ (lookup)
ルックアップは、ディメンション表または辞書内の値のルックアップを実行します。 events_all ビューでルックアップ機能を使用します。
構文
lookup(DimensionTable, ReturnColumn, LookupValue)
引数
- DimensionTable: 値をルックアップするディメンション表の名前。
- ReturnColumn: 返すディメンション・テーブル内の列
- LookupValue: 値、または戻り値のルックアップに使用されるキー
返品
単一のスカラー値
events_all
| project original_time, data_source_type_id,
data_source_type_name=lookup(datasources, 'data_source_name', data_source_id)
| where original_time > ago(5m)
| where isnotempty(data_source_type_name)
| summarize EventCount=count() by DataSourceTypeName=data_source_type_name
結果
| DataSourceTypeName | EventCount |
|---|---|
| Microsoft Windows Security Event Log | 220545555 |
| SentinelOne ActiveEDR | 18937016 |