take-anyif()(聚合函数)

适用于:✅Azure 数据资源管理器Azure MonitorMicrosoft Sentinel

在 predicate 为“true”的记录中,为 summarize 运算符中的每个组任意选择一条记录。 该函数返回每个此类记录的表达式值。

若要根据复合组键的值获取一个列的示例值,则可使用此函数,前提是某个谓词为“true”。 如果存在这样的值,该函数会尝试返回非 null/非空值。

弃用的别名:anyif()

注意

弃用的版本将 any_ 前缀添加到 any() 聚合返回的列。

语法

take_anyif( expr, predicate )

详细了解语法约定

参数

客户 类型​​ 必需 说明
expr string ✔️ 用于选择记录的表达式。
predicate string ✔️ 指示可考虑对哪些记录进行计算。

返回

take_anyif 聚合函数返回为每条记录计算的表达式的值,这些记录是从每个 summarize 运算符的组中随机选择而来。 只能选择 predicate 返回“true”的记录。 如果 Predicate 不返回“true”,则生成 null 值。

示例

从 Storm 事件中随机选择一个 EventType,其中事件描述包含关键短语。

StormEvents
| summarize take_anyif(EventType, EventNarrative has 'strong wind')

输出

EventType
Strong Wind