Analyse les informations des URL et des pièces jointes des emails sur une période de 30 jours, exclut les événements d’emails correspondants, et affiche le nombre d’occurrences par tranche de 5 minutes sous forme de graphique en colonnes.

let query_start = ago(30d);
let query_end = ago(1h);
union
    (EmailUrlInfo
    | where Timestamp between (query_start .. query_end)
    ),
    (EmailAttachmentInfo
    | where Timestamp between (query_start .. query_end)
    )
| join kind=leftanti (
    EmailEvents
    | where Timestamp between (query_start .. query_end)
    ) on NetworkMessageId
| summarize arg_min(Timestamp, *) by NetworkMessageId
| summarize count() by bin(Timestamp, 5m)
| render columnchart