Stručná referenční příručka ke KQL
Tento článek obsahuje seznam funkcí a jejich popisy, které vám pomůžou začít používat dotazovací jazyk Kusto.
| Operátor nebo funkce | Description | Syntax |
|---|---|---|
| Filtr, hledání nebo podmínka | Vyhledání relevantních dat filtrováním nebo vyhledáváním | |
| Kde | Filtry pro konkrétní predikát | T | where Predicate |
| kde obsahuje/obsahuje | Contains: Vyhledá shodu podřetěžce.Has: Vyhledá konkrétní slovo (lepší výkon). |
T | where col1 contains/has "[search term]" |
| search | Vyhledá hodnotu ve všech sloupcích v tabulce. | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| take take | Vrátí zadaný počet záznamů. Slouží k otestování dotazu. Poznámka: take a limit jsou synonyma. |
T | take NumberOfRows |
| Případě | Přidá příkaz podmínky podobný příkazu if/then/elseif v jiných systémech. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| Odlišné | Vytvoří tabulku s jedinečnou kombinací zadaných sloupců vstupní tabulky. | distinct [ColumnName], [ColumnName] |
| Datum a čas | Operace, které používají funkce data a času | |
| před | Vrátí časový posun vzhledem k času provedení dotazu. Je například ago(1h) jedna hodina před čtením aktuálních hodin. |
ago(a_timespan) |
| format_datetime | Vrátí data v různých formátech data. | format_datetime(datetime , format) |
| Přihrádky | Zaokrouhlí všechny hodnoty v časovém rámci a seskupí je. | bin(value,roundTo) |
| Vytvoření nebo odebrání sloupců | Přidání nebo odebrání sloupců v tabulce | |
| Tisk | Výstup jednoho řádku s jedním nebo více skalárními výrazy | print [ColumnName =] ScalarExpression [',' ...] |
| Projektu | Vybere sloupce, které se mají zahrnout do zadaného pořadí. | T | project ColumnName [= Expression] [, ...] Nebo T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| projekt pryč | Vybere sloupce, které se mají vyloučit z výstupu. | T | project-away ColumnNameOrPattern [, ...] |
| project-keep | Vybere sloupce, které se mají zachovat ve výstupu. | T | project-keep ColumnNameOrPattern [, ...] |
| přejmenování projektu | Přejmenuje sloupce ve výstupu výsledku. | T | project-rename new_column_name = column_name |
| project-reorder | Změní pořadí sloupců ve výstupu výsledku. | T | project-reorder Col2, Col1, Col* asc |
| Rozšířit | Vytvoří počítaný sloupec a přidá ho do sady výsledků. | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| Řazení a agregace datové sady | Změna struktury dat jejich smysluplným řazením nebo seskupením | |
| Operátor sort | Seřazení řádků vstupní tabulky podle jednoho nebo více sloupců ve vzestupném nebo sestupném pořadí | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| Top | Vrátí prvních N řádků datové sady, pokud je datová sada seřazena pomocí. by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| Sumarizovat | Seskupí řádky podle by sloupců skupiny a vypočítá agregace pro každou skupinu. |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| Počet | Spočítá záznamy ve vstupní tabulce (například T). Tento operátor je zkratkou pro summarize count() |
T | count |
| Připojit | Sloučí řádky dvou tabulek a vytvoří novou tabulku tak, že z každé tabulky shoduje hodnoty zadaných sloupců. Podporuje celou řadu typů spojení: fullouter, , inner, innerunique, leftantileftantisemi, leftouter, leftsemi, rightanti, , rightantisemi, , rightouterrightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| Unie | Vezme dvě nebo více tabulek a vrátí všechny jejich řádky. | [T1] | union [T2], [T3], … |
| Rozsah | Vygeneruje tabulku s aritmetickou řadou hodnot. | range columnName from start to stop step step |
| Formátovat data | Změna struktury dat na výstup užitečným způsobem | |
| Vyhledávání | Rozšíří sloupce tabulky faktů o hodnoty vyhledáné v tabulce dimenzí. | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | Převede dynamická pole na řádky (rozšíření s více hodnotami). | T | mv-expand Column |
| Analyzovat | Vyhodnotí řetězcový výraz a parsuje jeho hodnotu do jednoho nebo více počítaných sloupců. Slouží ke strukturování nestrukturovaných dat. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| make-series | Vytvoří řadu zadaných agregovaných hodnot podél zadané osy. | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| Nechat | Vytvoří vazbu názvu na výrazy, které mohou odkazovat na jeho vázanou hodnotu. Hodnoty můžou být výrazy lambda pro vytvoření funkcí definovaných dotazem v rámci dotazu. Slouží let k vytvoření výrazů nad tabulkami, jejichž výsledky vypadají jako nová tabulka. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| Obecné | Různé operace a funkce | |
| Vyvolat | Spustí funkci v tabulce, kterou obdrží jako vstup. | T | invoke function([param1, param2]) |
| vyhodnocení názvu modulu plug-in | Vyhodnotí rozšíření dotazovacího jazyka (moduly plug-in). | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| Vizualizace | Operace, které zobrazují data v grafickém formátu | |
| Vykreslení | Vykreslí výsledky jako grafický výstup. | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |
Související obsah
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro