السابق

التالي

استخدام عامل التشغيل الموسع

مكتمل

إنشاء أعمدة محسوبة وإلحاق الأعمدة الجديدة بمجموعة النتائج.

يستخدم مثال KQL أدناه عامل التشغيل الموسع لإنشاء عمود جديد، StartDir يحتوي على الدليل الذي تم بدء العملية فيه. عمود StartDir هو عمود محسوب يحتوي على نتائج دالة سلسلة فرعية.

SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir =  substring(ProcessName,0, string_size(ProcessName)-string_size(Process))

متابعة