Я связал следующий журнал с аналитической средой журнала azure через журнал клиента.
2023-01-24 07:58:30[X:MoveCarddataShare_Start]
2023-01-24 07:58:30[X;MoveCarddataShare_FileTomove:SA\Dispatch\)
2023-01-24 07:58:30[X;MoveCarddataShare_FileCountTomove:2)
2023-01-24 07:58:32[X;MoveCarddataShare_FileTomove:Styled and Co\Dispatch\)
2023-01-24 07:58:32[X;MoveCarddataShare_FileCountTomove:2)
Я хочу теперь значение X (которое является клиентом), а затем действие, а затем результат
Следующий код работает
let temp =
ShelSA_cardMovment_CL
| parse RawData with * "[" C
| parse RawData with * ";" A
| parse RawData with * "^" R
| extend dt = substring(RawData,0,19)
,Client = split(C,";",0)
,Action = split(A,"^",0)
,Re = R;
temp
|extend Result= replace_string(tostring(Re),')','')
Но все результирующие столбцы имеют «[]» вокруг вывода, замена удалит его, но это кажется неуклюжим.
["ShellSA"]
["MoveCarddataShare_FileTomove"]
Symon\Dispatch\)
Кроме того, я задавался вопросом, является ли это лучшим способом
Это вывод резюме, который я хочу
Все еще не имеет особого смысла, а также не соответствует вашим демонстрационным данным.
Я предполагаю, что это то, что вы ищете
datatable(RawData:string)
[
@"2023-01-24 07:58:30[X:MoveCarddataShare_Start]"
,@"2023-01-24 07:58:30[X;MoveCarddataShare_FileTomove:SA\Dispatch\)"
,@"2023-01-24 07:58:30[X;MoveCarddataShare_FileCountTomove:2)"
,@"2023-01-24 07:58:32[X;MoveCarddataShare_FileTomove:Styled and Co\Dispatch\)"
,@"2023-01-24 07:58:32[X;MoveCarddataShare_FileCountTomove:2)"
]
| parse kind=regex flags=U RawData with Timestamp:datetime @"\[" Client "[;:]" Action @"[]:]" Result @"\)?$"
Код и результат, который он выдает, не имеют особого смысла. Пожалуйста, предоставьте требуемый результат в формате CSV.