问题描述
关于在Defender ATP上进行高级搜索的Kusto查询语言
我正在查询一台计算机但跨多个表的信息
我使用Let命令将计算机名称分配给一个变量,并且这仅适用于第一个表,在这种情况下为DeviceNetworkInfo
结果仅包含第一个对象DeviceNetworkInfo,而其他2个则没有结果 我希望使用单个主机名变量从所有表中获取结果。
所以第2行和第3行没有结果。我只想输入一次主机名。
我正在使用的是以下
谢谢
0 Let hostname = "Computer1";
1 DeviceNetworkInfo | where DeviceName contains hostname;
2 DeviceProcessEvents | where DeviceName contains hostname;
3 DeviceAlertEvents | where DeviceName contains hostname;
解决方法
您的查询应该可以正常工作。确保其他两个表具有相关数据。
P.S。我认为在您的情况下,您可以使用has代替contains,因为它的性能更高(请参见更多信息here)。