在我的日常工作中,我使用Azure日志分析和Azure监视器工作簿。在大多数这样的场景中,我使用一些参数,用户可以使用这些参数来深入/限制所提供查询的范围。
这需要我为我的查询提供这些过滤器,例如,类似的东西
MyCustomLog
| where TimeGenerated ({TimeFrame:value})
| where Server in ({Server:value})
...
令人讨厌的是,我找不到在多个查询中重复使用这种样板模式的方法,也就是说,每次添加过滤器或更改语义时,我都必须检查所有查询并更新它们,这真的很乏味,也很容易出错,尤其是在更大的工作簿中。
我的成像也是我在普通日志中可以做的事情——使用let并从那里重用它。类似。。。
let BasicUniverse = MyCustomLog
| where TimeGenerated ({TimeFrame:value})
| where Server in ({Server:value});
接近参数定义,然后在每个查询中重用。。。
BasicUniverse
| // Do some processing based on that
这将是伟大的,因为我只需要更改一次基本的宇宙查询。这可能吗?或者有一个聪明的解决办法吗?
提前谢谢。
您可以考虑创建一个日志分析工作区函数,并将相关参数传递给它。