KQL-Kurzübersicht
Dieser Artikel enthält eine Liste mit Funktionen und Beschreibungen, um Sie bei Ihren ersten Schritten mit der Kusto-Abfragesprache zu unterstützen.
Operator/Funktion | BESCHREIBUNG | Syntax |
---|---|---|
Filter/Suche/Bedingung | Suche nach relevanten Daten mittels Filter- oder Suchvorgang | |
where | Filtert nach einem bestimmten Prädikat. | T | where Predicate |
where contains/has | Contains : Sucht nach einer beliebigen Teilzeichenfolgenübereinstimmung.Has : Sucht nach einem bestimmten Wort (bessere Leistung). |
T | where col1 contains/has "[search term]" |
search | Durchsucht alle Spalten in der Tabelle nach dem Wert. | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
take | Gibt die angegebene Anzahl von Datensätzen zurück. Verwenden Sie diese Option, um eine Abfrage zu testen. Hinweis: take und limit sind Synonyme. |
T | take NumberOfRows |
case | Fügt eine Bedingungsanweisung hinzu (vergleichbar mit „if“/„then“/„elseif“ in anderen Systemen). | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
distinct | Erzeugt eine Tabelle mit der speziellen Kombination der bereitgestellten Spalten der Eingabetabelle. | distinct [ColumnName], [ColumnName] |
Datum/Uhrzeit | Vorgänge mit Datums- und Uhrzeitfunktionen | |
ago | Gibt den Zeitversatz relativ zum Zeitpunkt der Abfrageausführung zurück. ago(1h) bedeutet beispielsweise „eine Stunde vor dem aktuellen Uhrzeitwert“. |
ago(a_timespan) |
format_datetime | Gibt Daten in verschiedenen Datumsformaten zurück. | format_datetime(datetime , format) |
bin | Rundet alle Werte in einem Zeitrahmen und gruppiert sie. | bin(value,roundTo) |
Erstellen/Entfernen von Spalten | Hinzufügen oder Entfernen von Spalten in einer Tabelle | |
Gibt eine einzelne Zeile mit mindestens einem skalaren Ausdruck aus. | print [ColumnName =] ScalarExpression [',' ...] |
|
project | Wählt die einzuschließenden Spalten in der angegebenen Reihenfolge aus. | T | project ColumnName [= Expression] [, ...] oder T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
project-away | Wählt die Spalten aus, die von der Ausgabe ausgeschlossen werden sollen. | T | project-away ColumnNameOrPattern [, ...] |
project-keep | Wählt die Spalten aus, die in die Ausgabe eingeschlossen werden sollen. | T | project-keep ColumnNameOrPattern [, ...] |
project-rename | Benennt Spalten in der Ergebnisausgabe um. | T | project-rename new_column_name = column_name |
project-reorder | Ordnet Spalten in der Ergebnisausgabe neu an. | T | project-reorder Col2, Col1, Col* asc |
extend | Erstellt eine berechnete Spalte und fügt sie dem Resultset hinzu. | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
Sortieren und Aggregieren des Datasets | Ändern der Datenstruktur durch sinnvolles Sortieren oder Gruppieren | |
sort-Operator | Sortieren der Zeilen der Eingabetabelle nach einer oder mehreren Spalten in auf- oder absteigender Reihenfolge | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
top | Gibt die ersten n Zeilen des Datasets zurück, wenn das Dataset mithilfe von by sortiert wird. |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
summarize | Gruppiert die Zeilen gemäß den by -Gruppenspalten und berechnet Aggregationen für jede Gruppe. |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
count | Zählt Datensätze in der Eingabetabelle (beispielsweise „T“). Dieser Operator ist eine Kurzform von summarize count() . |
T | count |
join | Führt die Zeilen zweier Tabellen zusammen, um eine neue Tabelle zu erzeugen, indem Werte aus den angegebenen Spalten beider Tabellen abgeglichen werden. Unterstützt eine breite Palette von Join-Typen: fullouter , inner , innerunique , leftanti , leftantisemi , leftouter , leftsemi , rightanti , rightantisemi , rightouter , rightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
union | Akzeptiert zwei oder mehr Tabellen und gibt alle ihre Zeilen zurück. | [T1] | union [T2], [T3], … |
range | Generiert eine Tabelle mit einer arithmetischen Reihe von Werten. | range columnName from start to stop step step |
Formatieren von Daten | Ändern der Datenstruktur für eine aussagekräftige Ausgabe | |
lookup | Erweitert die Spalten einer Faktentabelle mit nachgeschlagenen Werten aus einer Dimensionstabelle. | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
mv-expand | Konvertiert dynamische Arrays in Zeilen (mehrwertige Erweiterung). | T | mv-expand Column |
parse | Wertet einen Zeichenfolgenausdruck aus und analysiert dessen Wert in eine oder mehrere berechnete Spalten. Ermöglicht die Strukturierung unstrukturierter Daten. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
make-series | Erstellt eine Reihe angegebener aggregierter Werte entlang einer angegebenen Achse. | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
let | Bindet einen Namen an Ausdrücke, die auf den gebundenen Wert verweisen können. Werte können Lambdaausdrücke sein, um abfragedefinierte Funktionen als Teil der Abfrage zu erstellen. Verwenden Sie let , um Ausdrücke für Tabellen zu erstellen, deren Ergebnisse wie eine neue Tabelle aussehen. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
Allgemein | Sonstige Vorgänge und Funktionen | |
invoke | Führt die Funktion für die Tabelle aus, die sie als Eingabe erhält. | T | invoke function([param1, param2]) |
evaluate pluginName | Überprüft Erweiterungen für die Abfragesprache (Plug-Ins). | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
Visualisierung | Vorgänge zum Anzeigen der Daten in einem grafischen Format | |
render | Rendert Ergebnisse als grafische Ausgabe. | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |
Verwandte Inhalte
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für