Как написать запрос Кусто, чтобы найти две последовательные строки, которые имеют одинаковое значение в поле

Question

Как написать запрос Кусто, чтобы найти две последовательные строки, которые имеют одинаковое значение в поле

Мне нужно написать запрос Kusto для Azure Log Analysis, который находит последовательные события, имеющие одинаковое значение в поле (один и тот же код ошибки). Нам в основном нужно найти, не выполняются ли запросы дважды подряд. Случай, когда запрос терпит неудачу, один успешен, а другой отказывается, не возвращается.

4

azure-data-explorer azure-log-analytics kusto

Источник

user4233941 15 окт '18 в 22:45

1 ответ

Решение

Другие вопросы по тегам azure-data-explorer azure-log-analytics kusto

user10151794 16 окт '18 в 04:28 2018-10-16 04:28 · Accepted Answer · 2018-10-16 04:28

Предполагая, что у вас есть таблица с Id, Datetime и ErrorCode, вы можете использовать функцию prev() для достижения этой цели:

https://docs.microsoft.com/en-us/azure/kusto/query/prevfunction

datatable(Id:string, Datetime:datetime, ErrorCode:string)
[
    '1', datetime(2018-10-16 00:00), 'Error 1',
    '1', datetime(2018-10-16 00:01), 'Error 1',
    '2', datetime(2018-10-16 00:02), 'Error 1',
    '2', datetime(2018-10-16 00:03), 'Error 2',
]
| order by Id, Datetime asc 
| extend prevErrorCode = prev(ErrorCode), prevId=prev(Id)
| where prevErrorCode==ErrorCode and prevId  == Id