#azure #powerbi #powerquery #kql #azure-sentinel
Вопрос:
| where TimeGenerated > ago(30d) мне доступны только журналы за последние 30 дней, и я ищу запрос для получения журналов за предыдущий месяц из таблицы, чтобы я мог экспортировать их непосредственно в Power BI.
Комментарии:
1. Если приведенный ниже ответ отвечает на ваш вопрос, пожалуйста, примите его, нажав на значок «V». Если вам все еще не хватает информации, пожалуйста, добавьте комментарий, в котором будет указано, какая информация вам нужна. Спасибо.
Ответ №1:
Вот как вы можете это сделать ниже. Я показываю два пути. «Простой» способ-просто вручную вставить даты за месяц. Более сложный способ требует, чтобы вы использовали эту make_datetime функцию.
// The Easy 'Manual' Way
AuditLogs
| where TimeGenerated >= datetime('2021-08-01') and TimeGenerated <= datetime('2021-08-31')
// Automated Way
let lastmonth = getmonth(datetime(now)) -1;
let year = getyear(datetime(now));
let monthEnd = endofmonth(datetime(now),-1);
AuditLogs
| where TimeGenerated >= make_datetime(year,lastmonth,01) and TimeGenerated <= monthEnd
https://docs.microsoft.com/en-us/azure/data-explorer/kusto/query/make-datetimefunction
Комментарии:
1. возникла проблема, это работает только в течение 31 дня месяцев :/
2. исправлена эта проблема с помощью
endofmonth()функции.