azure-data-explorer - 使用查询填充 KQL 中的扩展？

问题描述

我收到了一个 JSON 属性包作为配置更新。我想从表中检索现有的最新属性包，对其进行操作以删除使用 bag_remove_keys 和 bag_merge 运算符更新的键。

这是在更新策略中使用的，所以我在输入数据的扩展中有新的属性包，我需要执行新的扩展来检索表中存在的当前最新属性集。

类似于以下内容：

            rawhsimessages 
            //Get @RecType
            | extend ParsedMessage = parse_json(Message)
            | extend Objects = ParsedMessage["ExportedConfig"]["Objects"]
            | parse Objects with "[" Objects "]"
            | extend Properties = parse_json(Objects)
            | extend RecType =  Properties["@RecType"] 
            | where RecType == "CHANGE"
            | extend latestconfig = XXXX(GeoSCADAConfigurationTest | where Id == Properties["Id"] | summarize arg_max(ConfigTime, Properties)
            | project-away Message, ParsedMessage, Objects

我可以用任何允许我这样做的东西替换 XXXX 吗？

如果没有，我可以采取更好的方法吗？

标签： azure-data-explorerkql