Aide-mémoire sur KQL
Cet article vous présente une liste de fonctions accompagnées de leur description pour vous aider à bien démarrer avec le langage de requête Kusto.
| Opérateur/Fonction | Description | Syntaxe |
|---|---|---|
| Filtre/Recherche/Condition | Rechercher des données pertinentes à l’aide du filtrage ou de la recherche | |
| where | Filtre à l’aide d’un prédicat spécifique | T | where Predicate |
| where contains/has | Contains: recherche une correspondance de sous-chaîneHas: recherche un mot spécifique (meilleures performances) |
T | where col1 contains/has "[search term]" |
| search | Recherche la valeur dans toutes les colonnes de la table | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| take | Retourne le nombre spécifié d’enregistrements. À utiliser pour tester une requête Remarque : take et limit sont des synonymes. |
T | take NumberOfRows |
| case | Ajoute une instruction de condition, qui est semblable aux if/then/elseif des autres systèmes. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| distinct | Produit une table avec la combinaison distincte des colonnes fournies de la table d’entrée. | distinct [ColumnName], [ColumnName] |
| Date/Heure | Opérations qui utilisent les fonctions de date et d’heure | |
| ago | Retourne le décalage par rapport au moment où la requête a été exécutée. Par exemple, ago(1h) signifie une heure avant la lecture de l’horloge actuelle. |
ago(a_timespan) |
| format_datetime | Retourne des données dans différents formats de date. | format_datetime(datetime , format) |
| bin | Arrondit toutes les valeurs d’une plage de temps et les regroupe | bin(value,roundTo) |
| Créer/Supprimer des colonnes | Ajouter ou supprimer des colonnes dans une table | |
| Génère une seule ligne avec une ou plusieurs expressions scalaires | print [ColumnName =] ScalarExpression [',' ...] |
|
| project | Sélectionne les colonnes à inclure dans l’ordre spécifié | T | project ColumnName [= Expression] [, ...] ou T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| project-away | Sélectionne les colonnes à exclure de la sortie | T | project-away ColumnNameOrPattern [, ...] |
| project-keep | Sélectionne les colonnes à conserver dans la sortie | T | project-keep ColumnNameOrPattern [, ...] |
| project-rename | Renomme les colonnes dans la sortie du résultat | T | project-rename new_column_name = column_name |
| project-reorder | Réorganise les colonnes dans la sortie du résultat | T | project-reorder Col2, Col1, Col* asc |
| extend | Crée une colonne calculée et l’ajoute au jeu de résultats | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| Trier et agréger un jeu de données | Restructurer les données en les triant ou en les regroupant de façon logique | |
| opérateur sort | Trier les lignes de la table d’entrée par une ou plusieurs colonnes dans l’ordre croissant ou décroissant | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| top | Retourne les N premières lignes du jeu de données lorsque celui-ci est trié à l’aide de by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| summarize | Regroupe les lignes en fonction du regroupement de colonnes by et calcule les agrégations sur chaque groupe |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| count | Compte les enregistrements dans la table d’entrée (par exemple, T) Cet opérateur est le raccourci de summarize count() |
T | count |
| join | Fusionne les lignes de deux tables pour former une nouvelle table en mettant en correspondance les valeurs des colonnes spécifiées de chaque table. Prend en charge la gamme complète des types de jointures : fullouter, inner, innerunique, leftanti, leftantisemi, leftouter, leftsemi, rightanti, rightantisemi, rightouter, rightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| union | Prend deux tables ou plus et retourne toutes leurs lignes | [T1] | union [T2], [T3], … |
| range | Génère une table avec une suite arithmétique de valeurs | range columnName from start to stop step step |
| Mettre en forme les données | Restructurer les données à afficher de manière utile | |
| lookup | Étend les colonnes d’une table de faits avec les valeurs recherchées dans une table de dimension | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | Transforme des tableaux dynamiques en lignes (expansion multivaleur) | T | mv-expand Column |
| parse | évalue une expression de chaîne et analyse sa valeur dans une ou plusieurs colonnes calculées. À utiliser pour structurer des données non structurées. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| make-series | Crée une série de valeurs agrégées spécifiées le long d’un axe spécifié | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| let | Lie un nom à des expressions qui peuvent référencer sa valeur liée. Les valeurs peuvent être des expressions lambda pour créer des fonctions définies par la requête dans le cadre de la requête. Utilisez let pour créer des expressions sur des tables dont les résultats ressemblent à une nouvelle table. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| Général | Opérations et fonctions diverses | |
| invoke | Exécute la fonction sur la table qu’elle reçoit comme entrée. | T | invoke function([param1, param2]) |
| evaluate pluginName | Évalue les extensions de langage de requête (plug-ins) | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| Visualisation | Opérations qui affichent les données dans un format graphique | |
| render | Affiche les résultats sous la forme d’une sortie graphique | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |
Contenu connexe
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour