Anpassen von Ergebnissen im Ergebnisraster des KQL-Abfragesets

  • Artikel

Verwenden Sie das Ergebnisraster im KQL-Abfrageset, um Ergebnisse anzupassen und weitere Analysen mit Ihren Daten durchzuführen. In diesem Artikel werden Aktionen beschrieben, die im Ergebnisraster ausgeführt werden können, nachdem eine Abfrage ausgeführt worden ist.

Voraussetzungen

Erweitern einer Zeile

Das Erweitern von Zellen ermöglicht das Anzeigen langer Zeichenfolgen oder dynamischer Felder wie JSON-Daten.

  1. Doppelklicken Sie auf eine Zelle, um eine erweiterte Ansicht zu öffnen. In dieser Ansicht können Sie lange Zeichenfolgen lesen, und es wird eine JSON-Formatierung für dynamische Daten bereitgestellt.

    Screenshot: KQL-Queryset mit den Ergebnissen einer Abfrage und einer Zelle, die zum Anzeigen langer Zeichenfolgen erweitert wurde. Die erweiterte Zelle ist hervorgehoben.

  2. Wählen Sie das Symbol rechts oben im Ergebnisraster aus, um zwischen den Modi für den Lesebereich zu wechseln. Wählen Sie zwischen den folgenden Lesebereichsmodi für die erweiterte Ansicht: inline, unten und rechts.

    Screenshot: KQL Queryset-Ergebnisbereich mit der Option zum Ändern des Ansichtsmodus des Abfrageergebnisbereichs.

Erweitern einer Zeile

Erweitern Sie bei einer Tabelle mit vielen Spalten die gesamte Zeile, um einen Überblick über die verschiedenen Spalten und deren Inhalt zu erhalten.

  1. Klicken Sie links neben der Zeile, die Sie erweitern möchten, auf den Pfeil >.

    Screenshot: KQL Queryset-Ergebnisbereich mit einer erweiterten Zeile.

  2. In der erweiterten Zeile sind einige Spalten erweitert (nach unten zeigender Pfeil) und einige Spalten reduziert (nach rechts zeigender Pfeil). Klicken Sie auf diese Pfeile, um zwischen diesen beiden Modi zu wechseln.

Gruppieren von Spalten nach Ergebnissen

Innerhalb der Ergebnisse können Sie Ergebnisse nach beliebigen Spalten gruppieren.

  1. Führen Sie die folgende Abfrage aus:

    StormEvents
| sort by StartTime desc
| take 10

  2. Zeigen Sie mit der Maus auf die Spalte State (Bundesstaat), und wählen Sie das Menü und dann Group by State (Nach Bundesstaat gruppieren) aus.

    Screenshot:KQL Queryset-Ergebnisbereich mit dem Menü der Spalte mit dem Titel „State“. Die Menüoption zum Gruppieren nach „State“ ist hervorgehoben.

  3. Doppelklicken Sie im Raster auf California, um Datensätze für diesen Bundesstaat zu erweitern und anzuzeigen. Diese Art der Gruppierung kann hilfreich sein, wenn Sie explorative Analysen durchführen.

    Screenshot: Abfrageergebnisraster mit erweiterter Gruppe „California“ im KQL Queryset

  4. Zeigen Sie mit der Maus auf die Spalte Gruppieren und wählen Sie dann Spalten zurücksetzen/Gruppierung nach <Spaltenname> aufheben aus. Diese Einstellung setzt das Raster auf den ursprünglichen Zustand zurück.

    Screenshot: Im Dropdownmenü der Spalte hervorgehobene Einstellung zum Zurücksetzen der Spalten

Leere Spalten ausblenden

Sie können leere Spalten durch Umschalten des Augensymbols im Ergebnisrastermenü ausblenden/anzeigen.

Screenshot: KQL Queryset-Ergebnisbereich. Das Symbol mit dem Auge zum Aus- und Einblenden leerer Spalten im Ergebnisbereich ist hervorgehoben.

Filtern von Spalten

Sie können Operatoren verwenden, um die Ergebnisse einer Spalte zu filtern.

  1. Wählen Sie zum Filtern einer bestimmten Spalte das Menü für diese Spalte aus.

  2. Wählen Sie das Filtersymbol aus.

  3. Wählen Sie im Filter-Generator den gewünschten Operator aus.

  4. Geben Sie den Ausdruck ein, nach dem Sie die Spalte filtern möchten. Die Ergebnisse werden bei der Eingabe gefiltert.

    Hinweis

    Der Filter unterscheidet nicht zwischen Groß- und Kleinschreibung.

  5. Um einen Filter mit mehreren Bedingungen zu erstellen, wählen Sie einen booleschen Operator aus, um eine weitere Bedingung hinzuzufügen.

  6. Wenn Sie den Filter entfernen möchten, löschen Sie den Text aus der ersten Filterbedingung.

Ausführen von Statistiken für Zellen

  1. Führen Sie die folgende Abfrage aus.

    StormEvents
| sort by StartTime desc
| where DamageProperty > 5000
| project StartTime, State, EventType, DamageProperty, Source
| take 10

  2. Wählen Sie im Ergebnisbereich einige der numerischen Zellen aus. Das Tabellenraster ermöglicht es Ihnen, mehrere Zeilen, Spalten und Zellen auszuwählen und Aggregationen für diese zu berechnen. Die folgenden Funktionen werden für numerische Werte unterstützt: Average, Count, Min, Max und Sum.

    Screenshot: KQL Queryset-Ergebnisbereich mit einigen numerischen Zellen, die ausgewählt sind. Als Ergebnis der Auswahl wird eine berechnete Aggregation dieser Zellen angezeigt.

Filter für Abfrage aus dem Raster

Eine weitere einfache Möglichkeit zum Filtern des Rasters besteht darin, der Abfrage einen Filteroperator direkt aus dem Raster hinzuzufügen.

  1. Wählen Sie eine Zelle mit Inhalt aus, für die Sie einen Abfragefilter erstellen möchten.

  2. Klicken Sie mit der rechten Maustaste, um das Menü mit den Zellaktionen zu öffnen. Wählen Sie Auswahl als Filter hinzufügen aus.

    Screenshot: Dropdownmenü mit der Option „Auswahl als Filter hinzufügen“ zum direkten Abfragen über das Raster

  3. Eine Abfrageklausel wird der Abfrage im Abfrage-Editor hinzugefügt:

    Screenshot: Abfrage-Editor mit hinzugefügter Abfrageklausel aus der Filterung des Rasters im KQL Queryset

Pivotieren

Die Funktion für den Pivot-Modus ähnelt der Funktion „PivotTable“ in Excel. Sie ermöglicht die Ausführung erweiterter Analysen direkt im Raster.

Mithilfe der Pivotierung können Sie einen Spaltenwert in Spalten umwandeln. Sie können beispielsweise State pivotieren, um Spalten für Florida, Missouri, Alabama usw. zu erstellen.

  1. Wählen Sie auf der rechten Seite des Rasters Columns (Spalten) aus, um den Tabellentoolbereich anzuzeigen.

    Screenshot: Zugreifen auf den Pivot-Modus

  2. Wählen Sie Pivot-Modus aus, und ziehen Sie die Spalten wie folgt: EventType nach Zeilengruppen, DamageProperty nach Werte und State nach Spaltenbeschriftungen.

    Screenshot: Hervorgehobene ausgewählte Spaltennamen zum Erstellen der PivotTable

    Das Ergebnis sollte der folgenden PivotTable ähneln:

    Screenshot: Ergebnisse in einer PivotTable

Suchen im Ergebnisraster

Sie können in einer Ergebnistabelle nach einem bestimmten Ausdruck suchen.

  1. Führen Sie die folgende Abfrage aus:

    StormEvents
| where DamageProperty > 5000
| take 1000

  2. Klicken Sie rechts auf die Schaltfläche Suchen, und geben Sie „Wabash“ ein.

    Screenshot: Abfrageergebnisbereich, in dem die Suchoption in der Tabelle hervorgehoben ist

  3. Alle Erwähnungen des gesuchten Ausdrucks werden nun in der Tabelle hervorgehoben. Sie können zwischen diesen navigieren, indem Sie auf EINGABE klicken, um vorwärts zu navigieren, oder auf UMSCHALT+EINGABE, um rückwärts zu navigieren, oder Sie können die Schaltflächen Nach oben und Nach unten neben dem Suchfeld verwenden.

    Screenshot: Tabelle mit hervorgehobenen Ausdrücken aus den Suchergebnissen

Zugehöriger Inhalt