KQL-Kurzübersicht

Dieser Artikel enthält eine Liste mit Funktionen und Beschreibungen, um Sie bei Ihren ersten Schritten mit der Kusto-Abfragesprache zu unterstützen.

Operator/Funktion BESCHREIBUNG Syntax
Filter/Suche/Bedingung Suche nach relevanten Daten mittels Filter- oder Suchvorgang
where Filtert nach einem bestimmten Prädikat. T | where Predicate
where contains/has Contains: Sucht nach einer beliebigen Teilzeichenfolgenübereinstimmung.
Has: Sucht nach einem bestimmten Wort (bessere Leistung).
T | where col1 contains/has "[search term]"
search Durchsucht alle Spalten in der Tabelle nach dem Wert. [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate
take Gibt die angegebene Anzahl von Datensätzen zurück. Verwenden Sie diese Option, um eine Abfrage zu testen.
Hinweis: take und limit sind Synonyme.
T | take NumberOfRows
case Fügt eine Bedingungsanweisung hinzu (vergleichbar mit „if“/„then“/„elseif“ in anderen Systemen). case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else)
distinct Erzeugt eine Tabelle mit der speziellen Kombination der bereitgestellten Spalten der Eingabetabelle. distinct [ColumnName], [ColumnName]
Datum/Uhrzeit Vorgänge mit Datums- und Uhrzeitfunktionen
ago Gibt den Zeitversatz relativ zum Zeitpunkt der Abfrageausführung zurück. ago(1h) bedeutet beispielsweise „eine Stunde vor dem aktuellen Uhrzeitwert“. ago(a_timespan)
format_datetime Gibt Daten in verschiedenen Datumsformaten zurück. format_datetime(datetime , format)
bin Rundet alle Werte in einem Zeitrahmen und gruppiert sie. bin(value,roundTo)
Erstellen/Entfernen von Spalten Hinzufügen oder Entfernen von Spalten in einer Tabelle
print Gibt eine einzelne Zeile mit mindestens einem skalaren Ausdruck aus. print [ColumnName =] ScalarExpression [',' ...]
project Wählt die einzuschließenden Spalten in der angegebenen Reihenfolge aus. T | project ColumnName [= Expression] [, ...]
oder
T | project [ColumnName | (ColumnName[,]) =] Expression [, ...]
project-away Wählt die Spalten aus, die von der Ausgabe ausgeschlossen werden sollen. T | project-away ColumnNameOrPattern [, ...]
project-keep Wählt die Spalten aus, die in die Ausgabe eingeschlossen werden sollen. T | project-keep ColumnNameOrPattern [, ...]
project-rename Benennt Spalten in der Ergebnisausgabe um. T | project-rename new_column_name = column_name
project-reorder Ordnet Spalten in der Ergebnisausgabe neu an. T | project-reorder Col2, Col1, Col* asc
extend Erstellt eine berechnete Spalte und fügt sie dem Resultset hinzu. T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...]
Sortieren und Aggregieren des Datasets Ändern der Datenstruktur durch sinnvolles Sortieren oder Gruppieren
sort-Operator Sortieren der Zeilen der Eingabetabelle nach einer oder mehreren Spalten in auf- oder absteigender Reihenfolge T | sort by expression1 [asc|desc], expression2 [asc|desc], …
top Gibt die ersten n Zeilen des Datasets zurück, wenn das Dataset mithilfe von by sortiert wird. T | top numberOfRows by expression [asc|desc] [nulls first|last]
summarize Gruppiert die Zeilen gemäß den by-Gruppenspalten und berechnet Aggregationen für jede Gruppe. T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]]
count Zählt Datensätze in der Eingabetabelle (beispielsweise „T“).
Dieser Operator ist eine Kurzform von summarize count() .
T | count
join Führt die Zeilen zweier Tabellen zusammen, um eine neue Tabelle zu erzeugen, indem Werte aus den angegebenen Spalten beider Tabellen abgeglichen werden. Unterstützt eine breite Palette von Join-Typen: fullouter, inner, innerunique, leftanti, leftantisemi, leftouter, leftsemi, rightanti, rightantisemi, rightouter, rightsemi LeftTable | join [JoinParameters] ( RightTable ) on Attributes
union Akzeptiert zwei oder mehr Tabellen und gibt alle ihre Zeilen zurück. [T1] | union [T2], [T3], …
range Generiert eine Tabelle mit einer arithmetischen Reihe von Werten. range columnName from start to stop step step
Formatieren von Daten Ändern der Datenstruktur für eine aussagekräftige Ausgabe
lookup Erweitert die Spalten einer Faktentabelle mit nachgeschlagenen Werten aus einer Dimensionstabelle. T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes
mv-expand Konvertiert dynamische Arrays in Zeilen (mehrwertige Erweiterung). T | mv-expand Column
parse Wertet einen Zeichenfolgenausdruck aus und analysiert dessen Wert in eine oder mehrere berechnete Spalten. Ermöglicht die Strukturierung unstrukturierter Daten. T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *...
make-series Erstellt eine Reihe angegebener aggregierter Werte entlang einer angegebenen Achse. T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]]
let Bindet einen Namen an Ausdrücke, die auf den gebundenen Wert verweisen können. Werte können Lambdaausdrücke sein, um abfragedefinierte Funktionen als Teil der Abfrage zu erstellen. Verwenden Sie let, um Ausdrücke für Tabellen zu erstellen, deren Ergebnisse wie eine neue Tabelle aussehen. let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression
Allgemein Sonstige Vorgänge und Funktionen
invoke Führt die Funktion für die Tabelle aus, die sie als Eingabe erhält. T | invoke function([param1, param2])
evaluate pluginName Überprüft Erweiterungen für die Abfragesprache (Plug-Ins). [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... )
Visualisierung Vorgänge zum Anzeigen der Daten in einem grafischen Format
render Rendert Ergebnisse als grafische Ausgabe. T | render Visualization [with (PropertyName = PropertyValue [, ...] )]