Verwenden des Union-Operators
Der Union-Operator verwendet mindestens zwei Tabellen und gibt die Zeilen aller Tabellen zurück. Es ist wichtig, dass Sie grundlegendes Verständnis darüber haben, wie Ergebnisse mit dem Pipezeichen übergeben und beeinflusst werden.
Folgendes gilt basierend auf dem Zeitfenster, das im Abfragefenster festgelegt wurde:
Abfrage 1 gibt alle Zeilen von SecurityEvent und alle Zeilen von SigninLogs zurück.
Abfrage 2 gibt eine einzelne Zeile und eine einzelne Spalte zurück. Hierbei handelt es sich um die Anzahl aller Zeilen von SecurityEvent und aller Zeilen von SigninLogs.
Abfrage 3 gibt alle Zeilen von SecurityEvent und eine einzelne Zeile für SigninLogs zurück.
Führen Sie jede Abfrage separat aus, um die Ergebnisse anzuzeigen.
// Query 1
SecurityEvent
| union SigninLogs
// Query 2
SecurityEvent
| union SigninLogs
| summarize count()
| project count_
// Query 3
SecurityEvent
| union (SigninLogs | summarize count()| project count_)
Der Union-Operator unterstützt Platzhalter für mehrere Union-Tabellen. Der folgende KQL-Code erstellt eine Anzahl für die Zeilen in allen Tabellen mit Namen, die jeweils mit „Security“ beginnen.
union Security*
| summarize count() by Type