在我的Jupyter笔记本中,我想对不同的Sentinel工作区运行相同的KQL查询,并将结果作为数据帧进行比较。有没有一种简单的方法可以同时连接多个工作区,或者每次更改KQL查询时,我是否需要重新连接并单独查询每个工作区?
实现它的选项很少。
- 如上所述,要使用跨工作区查询来生成一个包含所有指定工作区记录的表,您可以将其拆分为多个数据帧
- 创建多个连接,并逐个查询。您可以在一个%%kql单元格中有多个查询(用空行分隔每个查询,并将每个查询的结果分配给不同的python变量
- 编写在工作区上迭代的python代码,并使用%kql(一行魔术(
- 编写在工作空间上迭代的python代码,并使用ipython-magic API调用Kqlmagic
- 编写在工作区上迭代的python代码,并使用Kqlmagic模块
(我是Kqlmagic的作者(
查看跨工作区查询是否满足您的需求。这里还有更多的文档。跨工作区查询正是您所描述的。您使用union运算符来链接两者,类似于使用union链接两个表的方式。
摘自文章:
workspace('<workspace-A>').SecurityEvent
| union workspace('<workspace-B>').SecurityEvent