Referencia rápida de KQL
En este artículo se muestra una lista de funciones y sus descripciones para ayudarle a comenzar a usar Kusto Query Language.
| Operador o función | Descripción | Sintaxis |
|---|---|---|
| Filtro, búsqueda o condición | Búsqueda de datos pertinentes mediante filtrado o búsqueda | |
| where | Filtra por un predicado específico. | T | where Predicate |
| where contains/has | Contains: busca cualquier coincidencia de subcadena.Has: busca una palabra específica (mejor rendimiento). |
T | where col1 contains/has "[search term]" |
| search | busca el valor en todas las columnas de la tabla. | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| take | devuelve el número de registros especificado. Úselo para probar una consulta. Nota: take y limit son sinónimos. |
T | take NumberOfRows |
| case | Agrega una instrucción de condición, similar a if/then/elseif en otros sistemas. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| distinct | Genera una tabla con la combinación distinta de las columnas proporcionadas de la tabla de entrada. | distinct [ColumnName], [ColumnName] |
| Date/Time | Operaciones que usan funciones de fecha y hora | |
| ago | Devuelve el desfase horario en relación con la hora a la que se ejecuta la consulta. Por ejemplo, ago(1h) es una hora antes de la lectura del reloj actual. |
ago(a_timespan) |
| format_datetime | Devuelve datos en varios formatos de fecha. | format_datetime(datetime , format) |
| bin | Redondea todos los valores de un período de tiempo y los agrupa. | bin(value,roundTo) |
| Creación o eliminación de columnas | Adición o eliminación de columnas de una tabla | |
| Genera una sola fila con una o más expresiones escalares. | print [ColumnName =] ScalarExpression [',' ...] |
|
| project | Selecciona las columnas que se van a incluir en el orden especificado. | T | project ColumnName [= Expression] [, ...] Or T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| project-away | Selecciona las columnas que se van a excluir de la salida. | T | project-away ColumnNameOrPattern [, ...] |
| project-keep | Selecciona las columnas que se van a mantener en la salida. | T | project-keep ColumnNameOrPattern [, ...] |
| project-rename | Cambia el nombre de las columnas en la salida de resultados. | T | project-rename new_column_name = column_name |
| project-reorder | Cambia el orden de las columnas en la salida de resultados. | T | project-reorder Col2, Col1, Col* asc |
| extend | Crea una columna calculada y la agrega al conjunto de resultados. | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| Ordenación y agregación del conjunto de datos | Reestructuración de los datos mediante su ordenación y agrupación de formas significativas | |
| Operador sort | Ordenar las filas de la tabla de entrada por una o varias columnas en orden ascendente o descendente | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| top | Devuelve las n primeras filas del conjunto de datos cuando este se ordena mediante by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| summarize | Agrupa las filas según las columnas de grupo by y calcula las agregaciones en cada grupo. |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| count | Cuenta los registros de la tabla de entrada (por ejemplo, T). Este operador es una abreviatura de summarize count() . |
T | count |
| join | Combina las filas de dos tablas para formar una nueva tabla haciendo coincidir los valores de las columnas especificadas de cada tabla. Admite una gama completa de tipos de combinación: fullouter, inner, innerunique, leftanti, leftantisemi, leftouter, leftsemi, rightanti, rightantisemi, rightouter, rightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| union | Toma dos o más tablas y devuelve todas sus filas. | [T1] | union [T2], [T3], … |
| range | Genera una tabla con una serie aritmética de valores. | range columnName from start to stop step step |
| Aplicación de formato a los datos | Reestructuración de los datos para que se generen de forma útil | |
| lookup | Extiende las columnas de una tabla de hechos con valores buscados en una tabla de dimensiones. | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | Convierte las matrices dinámicas en filas (expansión de varios valores). | T | mv-expand Column |
| parse | evalúa una expresión de cadena y analiza su valor en una o más columnas calculadas. Úselo para estructurar datos no estructurados. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| make-series | Crea una serie de valores agregados especificados a lo largo de un eje definido. | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| let | Enlaza un nombre a expresiones que pueden hacer referencia a su valor enlazado. Los valores pueden ser expresiones lambda para crear funciones definidas por consultas como parte de la consulta. Use let para crear expresiones sobre tablas cuyos resultados se parezcan a una nueva tabla. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| General | Operaciones y funciones mixtas | |
| invoke | Ejecuta la función en la tabla que recibe como entrada. | T | invoke function([param1, param2]) |
| evaluate pluginName | Evalúa las extensiones del lenguaje de consulta (complementos). | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| Visualización | Operaciones que muestran los datos en formato gráfico | |
| render | Representa los resultados como una salida gráfica. | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |
Contenido relacionado
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de