我有以下查询,它给了我来自服务器的defender av Endpoint Protection客户端运行状况报告。
Event | where EventLog contains "defender" | where EventID == 1151
内部查询是表"渲染描述",其中包含我想使用的数据"防病毒签名年龄:100"(+对我来说毫无用处(。图片显示格式 数据在该表中的位置。该数字显示了 Defender 定义的年龄。
图片
甚至可以在日志分析中从表内部对数据进行排序和查询吗?我想进行查询,该查询仅在防病毒签名年龄大于 100 时才显示事件
我试图尽可能地解释这一点,所以希望你理解我的想法。
实际上,查询和排序数据非常容易。但是您应该根据我的评论提供更多细节。
现在,我假设RenderedDescription是 Azure 日志分析中的一个表,类似于名为Event的表。
我还假设Antivirus signature age是一列,那么您可以尝试以下查询:
RenderedDescription
| where "Antivirus signature age" > 100
如果我有一些误解,请纠正我。
顺便说一句,您帖子中的当前屏幕截图还不够好。并且最好提供表格RenderedDescription的结构的其他屏幕截图(包括列,尤其是数据"防病毒签名年龄:100"在哪一列中(。