KQL – Guia Básico – Count
Nível: Iniciante | Tempo de leitura: 5 minutos
Continuando nossa série sobre KQL com foco em Cyber Security, vamos falar hoje como usar o operador Count. Outros capítulos podem ser vistos em nossa categoria de KQL do site.
O operador Count é usado para retornar uma contagem dos registros sumarizados ou totais. Ele basicamente retorna o número de linhas de um resultado pesquisado.
Exemplo de caso de uso. Vamos olhar a tabela Perf. Ela nos mostra a lista abaixo.
![](https://cybergeeks.cloud/wp-content/uploads/2021/08/image-76.png)
Agora, eu quero contar os resultados retornados usando o count.
![](https://cybergeeks.cloud/wp-content/uploads/2021/08/image-77.png)
Vamos ver fazer o exemplo com a tabela SecurityEvent para os eventos de segurança.
![](https://cybergeeks.cloud/wp-content/uploads/2021/08/image-78.png)
Podemos fazer um filtro mais específico, como abaixo, onde estou buscando a tabela SecurityEvent, que ocorreu mais de 1h atrás e adicionando as colunas Computer filtrando por um servidor específico (que contenha o nome Windows2019) e o EventSourceName que contenha AppLocker no nome.
![](https://cybergeeks.cloud/wp-content/uploads/2021/08/image-79.png)
Agora para fazer a contagem e saber quantos eventos ocorreram vamos usar o operador count.
![](https://cybergeeks.cloud/wp-content/uploads/2021/08/image-80.png)
Simples e fácil! Mais um operador para vocês usarem no dia a dia.
Obrigado!