Использование полей данных, содержащихся в XML, для суммирования событий Windows в аналитике журналов
В Azure Log Analytics я пытаюсь анализировать события, созданные планировщиком заданий, и группировать их по имени выполняемой задачи.
Основной запрос выглядит так
Event
| where Source == "Microsoft-Windows-TaskScheduler"
and TimeGenerated > ago(24h)
and EventLog == "Microsoft-Windows-TaskScheduler/Operational"
and EventID == 201
Я борюсь с задачей группировки результатов по именам запланированных задач, поскольку имена содержатся в XML-кодированных данных в атрибутах ParameterXML и EventData, которые имеют следующие форматы:
ПараметрXML:
<Param>\MyScheduledTasksName</Param>
<Param>{1F1893C6-0696-430C-9738-50B068DDE37B}</Param>
<Param>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Param>
<Param>0</Param>
<Param>9684</Param>
Данные события:
<DataItem type = "System.XmlData" time = "2019-06-13T11:18:45.4806563+02:00" sourceHealthServiceId = "D4165670-2EBA-67E0-FF6B-1D838007CE5B">
<EventData Name = "ActionSuccess" xmlns = "http://schemas.microsoft.com/win/2004/08/events/event">
<Data Name = "TaskName">\MyScheduledTasksName</Data>
<Data Name = "TaskInstanceId">{1F1893C6-0696-430C-9738-50B068DDE37B}</Data>
<Data Name = "ActionName">C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Data>
<Data Name = "ResultCode">0</Data><Data Name = "EnginePID">9684</Data>
</EventData>
</DataItem>
Как мне разобрать имя задачи XML, чтобы я мог использовать его для группировки/обобщения в канале?
Стоит ли изучать PHP в 2023-2024 годах?
Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.
Приемы CSS-макетирования - floats и Flexbox
Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...
Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest
В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...
Концепция локализации и ее применение в приложениях React ⚡️
Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...
Пользовательский скаляр GraphQL
Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...
1
0
935
2
Перейти к ответу
Данный вопрос помечен как решенный
Ответы 2
Кажется, вы ищете функцию parse_xml(): https://docs.microsoft.com/en-us/azure/kusto/query/parse-xmlfunction
Ответ принят как подходящий
вот пример использования parse_xml() в сочетании с mv-apply для доступа только к определенным элементам полезной нагрузки XML, например. TaskName в этом случае:
datatable(id:int, EventData:string)
[
1, '<DataItem type = "System.XmlData" time = "2019-06-13T11:18:45.4806563+02:00" sourceHealthServiceId = "D4165670-2EBA-67E0-FF6B-1D838007CE5B">\n <EventData Name = "ActionSuccess" xmlns = "http://schemas.microsoft.com/win/2004/08/events/event">\n <Data Name = "TaskName">\\MyScheduledTasksName</Data>\n <Data Name = "TaskInstanceId">{1F1893C6-0696-430C-9738-50B068DDE37B}</Data>\n <Data Name = "ActionName">C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe</Data>\n <Data Name = "ResultCode">0</Data><Data Name = "EnginePID">9684</Data>\n </EventData>\n</DataItem>',
2, '<DataItem type = "System.XmlData" time = "2019-06-13T11:18:45.4806563+02:00" sourceHealthServiceId = "D4165670-2EBA-67E0-FF6B-1D838007CE5B">\n <EventData Name = "ActionSuccess" xmlns = "http://schemas.microsoft.com/win/2004/08/events/event">\n <Data Name = "TaskName">\\MyOtherTask</Data>\n <Data Name = "TaskInstanceId">{1F1893C6-0696-430C-9738-50B068DDE37B}</Data>\n <Data Name = "ActionName">C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe</Data>\n <Data Name = "ResultCode">0</Data><Data Name = "EnginePID">9684</Data>\n </EventData>\n</DataItem>'
]
| mv-apply EventData = parse_xml(EventData).DataItem.EventData.Data on
(
where EventData['@Name'] == 'TaskName'
| project TaskName = EventData['#text']
)
Приведенный выше запрос возвращает следующую таблицу:
| id | TaskName |
|----|-----------------------|
| 1 | \MyScheduledTasksName |
| 2 | \MyOtherTask |
Другие вопросы по теме
Как запросить журналы Application Insights (аналитика) из Kusto.Explorer?
Запрос для получения процента невыполненных запросов Azure Application Insights
Как создать переменную и установить ее равной счетчику определенного customEvent?
Существует ли API для доступа к данным Kusto за пределами Kusto?
Как получить доступ к значению шага диапазона в операторе `toscalar()`, используемом в операторе `range()`
Получение «Накопленный массив строк становится слишком большим» при запросе Kusto из Power BI
Как получить доступ к внешнему столбцу в подзапросе в аналитике приложений kusto/Azure?
Как правильно аутентифицировать Kusto с помощью клиента Python?
Местное время в Azure Data Explorer/временной диаграмме Kusto
Можно ли взять определенное количество строк из определенного значения столбца, аналогично циклу foreach в Java?
Похожие вопросы
Как запросить журналы Application Insights (аналитика) из Kusto.Explorer?
Запрос для получения процента невыполненных запросов Azure Application Insights
Запрос журналов IIS из BLOB-объектов с помощью Azure Log Analytics (ранее OMS)
Azure Log Analytics анализирует данные WAF (строковые данные в целом)
Мониторинг кластера Azure China Kubernetes
SetAzVMExtension для подключения виртуальной машины к Log Analytics
Есть ли способ передать журналы IIS в App Insights из рабочей области Log Analytics?
Отслеживание удаления ресурсов из Azure ActivityLog в LogAnalytics
Существуют ли какие-либо запросы KQL для извлечения просмотров страниц, количества загрузок из журналов W3C IISlog в аналитике Azure-Log?
Проверить, существует ли таблица на языке Kusto?
Спасибо, это сработало. Последующий
| summarize count() by tostring(TaskName)дал мне результат, который я искал.