azure - 如何在 Azure Log Analytics 中使用“包含”查询多个相似的字符串值？

问题描述

我有一个 ADF 管道，我正在尝试查询其故障日志。我需要根据我在管道运行中使用的参数分析日志。我的示例查询如下：

ADFPipelineRun
| project JobId, PLName, JobStatus, PL_param, Status
| where PLName == "org_daily_data_load"
| where Status == "Failed"
| where PL_param contains 'org_erp_sap'

这行得通。但我需要分析各种参数的结果。但参数相似但并不总是相同。它们因日期和时间而异，如下所示：

参数：

org_erp_sap_20201104_063418
ABC_ENV_D_20210329_174033
123_xyz_abc_20210801_101923
org_erp_sap_20210504_143418
123_xyz_abc_20210401_121923

正如您在上面看到的，日期不同，但参数中有一个共同的字符串部分。如果我想检查这些参数的日志，我必须手动更改where PL_param contains每个查询的子句中的参数，如下所示：

ADFPipelineRun
| project JobId, PLName, JobStatus, PL_param, Status 
| where PLName == "org_daily_data_load"
| where Status == "Failed"
| where PL_param contains 'org_erp_sap'


ADFPipelineRun
| project JobId, PLName, JobStatus, PL_param, Status 
| where PLName == "org_daily_data_load"
| where Status == "Failed"
| where PL_param contains 'ABC_ENV_D'


ADFPipelineRun
| project JobId, PLName, JobStatus, PL_param, Status 
| where PLName == "org_daily_data_load"
| where Status == "Failed"
| where PL_param contains '123_xyz_abc'

有没有办法让contains子句只使用公共字符串部分来获取多个值，而不管后面的日期和时间戳信息如何？如下所示：

ADFPipelineRun
| project JobId, PLName, JobStatus, PL_param, Status 
| where PLName == "org_daily_data_load"
| where Status == "Failed"
| where PL_param contains 'org_erp_sap%' OR 'ABC_ENV_D%' OR '123_xyz_abc%'

这是我第一次使用 KQL 和 Azure Log Analytics，我不知道如何实现这一点。有人可以帮忙吗？

标签： azureazure-data-factoryazure-data-explorerazure-log-analyticskql