Использовать пользовательскую таблицу в запросе аналитики журналов
Можно ли создать пользовательскую таблицу и ссылаться на нее в запросе Kusto в рабочей области Log Analytics?
В частности, я хотел бы создать таблицы, которые помогут предоставить метаданные для моих оповещений. т. е. вместо использования запланированных оповещений (необходимо поддерживать различные оповещения и запросы с различными областями для учета окна обслуживания каждой системы) я хотел бы определить одну таблицу, в которой я бы указал идентификатор ресурса и время начала/остановки для каждого окна обслуживания (потенциально наличие нескольких строк для одного и того же ресурса (например, для покрытия разных графиков выходных и будних дней). Затем я могу использовать эту таблицу, чтобы сказать, какие машины должны быть онлайн в данный момент, и, таким образом, предупреждать только об «отсутствии последнего контрольного сигнала для ресурса» для тех ресурсов, которые, как ожидается, будут онлайн в данный момент.
Я нашел подробную информацию об использовании журналов из файлов журналов на компьютере для создания такой пользовательской таблицы, но это не то, что мне нужно. Я хочу создать таблицу для хранения нерегистрируемых данных. Я подозреваю, что мог бы злоупотребить для этой цели пользовательскими таблицами журналов; но мне интересно, есть ли более правильный подход?
Я видел, что могу запрашивать таблицы графов ресурсов, поэтому можно подойти к этому с помощью тегов ресурса; но это не обеспечивает той гибкости, которую я хочу/которую может дать выделенный стол.
let nowtime = toint(format_datetime(now(),'HHmmss'));
let heartbeats =
Heartbeat
| where TimeGenerated > ago(10m)
| distinct _ResourceId;
arg("").resources
| where type =~ 'microsoft.compute/virtualmachines'
and tags['inScopeForMonitor'] =~ 'true'
| project id
, startTime = toint(replace_string(tags['startTime'],':',''))
, stopTime = toint(replace_string(tags['stopTime'],':',''))
, x = nowtime
| where (startTime < stopTime and startTime <= nowtime and stopTime > nowtime)
or (startTime > stopTime and (startTime <= nowtime or stopTime > nowtime))
| where id !in~ (heartbeats)