Anweisungen für tabellarische Ausdrücke
Die Aussage des tabellarischen Ausdrucks ist das, was Benutzer normalerweise im Kopf haben, wenn sie über Abfragen sprechen. Diese Anweisung wird in der Regel zuletzt in der Anweisungsliste angezeigt, und sowohl ihre Eingabe als auch ihre Ausgabe bestehen aus Tabellen oder tabellarischen Datasets. Zwei Anweisungen müssen durch ein Semikolon getrennt werden.
Azure Data Explorer verwendet ein Datenflussmodell für die Anweisung des tabellarischen Ausdrucks. Eine tabellarische Ausdrucksanweisung besteht im Allgemeinen aus tabellarischen Datenquellen wie Azure Data Explorer Tabellen, tabellarischen Datenoperatoren wie Filter und Projektionen und optionalen Renderingoperatoren. Die Komposition wird durch das Pipezeichen (|) dargestellt, wodurch die -Anweisung eine sehr reguläre Form erhält, die den Fluss von tabellarischen Daten von links nach rechts visuell darstellt.
Jeder Operator akzeptiert ein tabellarisches Dataset "aus der Pipe" und andere Eingaben, einschließlich weiterer tabellarischer Datasets aus dem Textkörper des Operators, und gibt dann ein tabellarisches Dataset an den nächsten Operator aus, der folgt.
Syntax
Quelle|Operator1|Operator2|RenderInstruction
Parameter
| Name | type | Erforderlich | BESCHREIBUNG |
|---|---|---|---|
| Quelle | Zeichenfolge | ✓ | Eine tabellarische Datenquelle, z. B. eine Azure Data Explorer-Tabelle. |
| Operator | Zeichenfolge | ✓ | Tabellarische Datenoperatoren, z. B. Filter und Projektionen. |
| RenderInstruction | Zeichenfolge | Renderoperatoren oder Anweisungen. |
Tabellarische Datenquellen
Eine tabellarische Datenquelle erzeugt Datensätze, die von tabellarischen Datenoperatoren weiter verarbeitet werden. Azure Data Explorer unterstützt mehrere der folgenden Quellen:
- Tabellenverweise (die sich auf eine Azure Data Explorer-Tabelle in der Kontextdatenbank oder in einem anderen Cluster/einer anderen Datenbank beziehen.)
- Der tabellarische Bereichsoperator.
- Der Druckoperator.
- Ein Aufruf einer Funktion, die eine Tabelle zurückgibt.
- Ein Tabellenliteral ("datatable").
Beispiel
Im folgenden komplexeren Beispiel wird der join -Operator verwendet, um Datensätze aus zwei Eingabedatensätzen zu kombinieren, von denen es sich um einen Filter für die Tabelle und einen anderen, bei dem Logs es sich um einen Filter für die Events Tabelle handelt.
Logs
| where Timestamp > ago(1d)
| join
(
Events
| where continent == 'Europe'
) on RequestId