Freigeben über


Anweisungen für tabellarische Ausdrücke

Die Tabellarische Ausdrucksanweisung ist das, was Personen in der Regel im Hinterkopf haben, wenn sie über Abfragen sprechen. Diese Anweisung wird in der Regel zuletzt in der Anweisungsliste angezeigt, und sowohl die Eingabe als auch die Ausgabe bestehen aus Tabellen oder tabellarischen Datasets. Zwei Anweisungen müssen durch ein Semikolon getrennt werden.

Eine tabellarische Ausdrucksanweisung besteht in der Regel aus tabellarischen Datenquellen wie Tabellen, tabellarischen Datenoperatoren wie Filtern und Projektionen und optionalen Renderingoperatoren. Die Komposition wird durch das Pipezeichen (|) dargestellt, wobei die Anweisung eine normale Form darstellt, die den Fluss tabellarischer Daten von links nach rechts darstellt. Jeder Operator akzeptiert ein tabellarisches Dataset "from the pipe" und andere Eingaben, einschließlich weiterer tabellarischer Datasets aus dem Textkörper des Operators, und gibt dann ein tabellarisches Dataset an den nächsten folgenden Operator aus.

Syntax

Source | Operator1 | Operator2 | RenderInstruction

Erfahren Sie mehr über Syntaxkonventionen.

Parameter

Name Type Erforderlich Beschreibung
Quelle string ✔️ Eine tabellarische Datenquelle. Siehe Tabellarische Datenquellen.
Operator string ✔️ Tabellarische Datenoperatoren, z. B. Filter und Projektionen.
RenderInstruction string Rendern von Operatoren oder Anweisungen

Tabellarische Datenquellen

Eine tabellarische Datenquelle erzeugt Datensätze, die von tabellarischen Datenoperatoren weiter verarbeitet werden sollen. Die folgende Liste zeigt unterstützte tabellarische Datenquellen:

Beispiele

Filtern von Zeilen nach Bedingung

Die folgende Abfrage zählt die Anzahl der Datensätze in der Tabelle, die StormEvents den Wert "FLORIDA" in der State Spalte aufweisen.

StormEvents 
| where State == "FLORIDA"
| count

Ausgabe

Anzahl
1042

Kombinieren von Daten aus zwei Tabellen

Im folgenden Beispiel wird der Verknüpfungsoperator verwendet, um Datensätze aus zwei tabellarischen Datenquellen zu kombinieren: die StormEvents Tabelle und die PopulationData Tabelle.

StormEvents 
| where InjuriesDirect + InjuriesIndirect > 50
| join (PopulationData) on State
| project State, Population, TotalInjuries = InjuriesDirect + InjuriesIndirect

Ausgabe

Staat Auffüllung TotalInjuries
ALABAMA 4918690 60
CALIFORNIA 39562900 61
KANSAS 2915270 63
MISSOURI 6153230 422
OKLAHOMA 3973710 200
TENNESSEE 6886720 187
TEXAS 29363100 137