我想创建一个函数,该函数允许我将查询的表格结果作为参数传递,而无需指定表列名。
这就是我想要的结果:
let Func = (T) {
T
| where Source has_any ("value")
};
let EventVar = Event | where TimeGenerated > ago(30d);
Func (EventVar);
您不需要指定表格参数模式中的所有列,只需要指定那些需要在函数中使用的列。
例如,您的查询如下所示:
let CustomFunc = (T:(Source:string)) {
T | where Source has_any ("value")
};
let EventVar = Event | where TimeGenerated > ago(30d);
CustomFunc(EventVar);
如果表EventVar的行与函数中的条件匹配,则上面的查询将输出表中的所有列。唯一的要求是表EventVar具有类型为string、名称为Source的列,并且它可以具有任意数量的其他列。
也可以通过定义T:(*)等输入表格参数来接受任何表格模式,但在这种情况下,您将无法引用函数内的任何列名。请参阅文档页面上的示例4以获取参考。