我正在尝试将以下 Splunk 查询转换为 Kusto。
| eval result=if(Match(Status,"Success|Passed"), "succeess","failed")
下面是来自 Kusto 的例子,但不清楚。如何根据上述 Splunk Query 修改此 Kusto 示例。谢谢
| extend day = iff(floor(Timestamp, 1d)==floor(now(), 1d), "today", "anotherday")
1 回答
1
你可以试试这个:
...
| summarize success = countif(Status in ("Success", "Passed")), total = count()
| project success, failure = total - success
如果命名列中的值
Status可以有不同的大小写,您可以使用in~()如果命名列中的值
Status是较长的字符串,您想在其中查找子字符串,则可以使用,例如:Status contains "Success" or Status contains "Passed"
于 2021-11-16T02:54:44.377 回答