Объединение таблиц в Azure Log Analytics

Question

Объединение таблиц в Azure Log Analytics

Здравствуйте, могу ли я получить помощь, чтобы заставить это объединение работать?

Из таблицы OfficeActivity, если есть результат, я хочу проверить, есть ли также строка в таблице SecurityAlert и присоединиться, вероятно, на основе имени пользователя.

OfficeActivity
| extend dtUTC = format_datetime(TimeGenerated,'yyyy-MM-dd hh:mm')
| extend dtAU = format_datetime(TimeGenerated +10h,'yyyy-MM-dd hh:mm')
| extend Folder = parse_json(Folder).Path
| extend DestFolder = parse_json(DestFolder).Path
| extend MessageID = parse_json(AffectedItems)[0].InternetMessageId
| extend Subject = parse_json(AffectedItems)[0].Subject
| where Subject == "New sign-on notification"
| project TimeGenerated,dtUTC,dtAU,UserId,Operation,ResultStatus,Client_IPAddress,ClientInfoString,ClientProcessName,ClientVersion,Subject,Folder,DestFolder,MessageID,OfficeObjectId
| join kind= inner
(SecurityAlert
| where UserId == json_parse(ExtendedProperties)['User Account']
) on UserId

Ошибка, которую я получаю в настоящее время 'where' operator: Failed to resolve column or scalar expression named 'UserId'

0

azure-log-analytics

Источник

user1380806 22 янв '19 в 23:55

0 ответов

Другие вопросы по тегам azure-log-analytics