投稿
  1. 码文网首页
  2. 码文文章

KQL-加入2个表按价值平等

作者:樱桃梗 阅读 80

我试图在 Microsoft Defender 中加入 KQL 中的两个表。

我试图在 Microsoft Defender 中加入 KQL 中的两个表。

这些表没有匹配的列,但是它们有匹配的字段。

LeftTable:EmailEventsField:RecipientEmailAddress

右表:IdentityInfo字段:AccountUpn

我使用的查询如下

EmailEvents
| where EmailDirection == "Inbound"
| where Subject == "invoice" or SenderFromAddress == "testtest@outlook.com"
| project RecipientEmailAddress, Subject, InternetMessageId, SenderFromAddress
| join kind=inner (IdentityInfo 
| distinct AccountUpn, AccountDisplayName, JobTitle , Department, City, Country) 
on $left.RecipientEmailAddress -- $right.AccountUpn

我看到的错误

语义错误错误消息联接:在此上下文中只允许列实体或相等表达式。如何解决修复查询中的语义错误

有人可以帮助我不知道我在哪里错了。

0

尝试替换此:

on $left.RecipientEmailAddress--$right.AccountUpn

与此相关:

on $left.RecipientEmailAddress == $right.AccountUpn

本站系公益性非盈利分享网址,本文来自用户投稿,不代表码文网立场,如若转载,请注明出处

(872)
用JavaScript显示当地时间(洛杉矶或太平洋)和纽约的时间
上一篇
Azure表存储不会在实体定义中保存所有内容
下一篇

相关推荐

发表评论

登录 后才能评论

评论列表(7条)