Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article vous présente une liste de fonctions et de leurs descriptions pour vous aider à commencer à utiliser le langage de requête Kusto.
| Opérateur/fonction | Descriptif | Syntaxe |
|---|---|---|
| Filtre/recherche/condition | Rechercher des données pertinentes en filtrant ou en recherchant | |
| where | Filtres sur un prédicat spécifique | T | where Predicate |
| où contient/a |
Contains: Recherche une correspondance de sous-chaîne Has: Recherche un mot spécifique (meilleures performances) |
T | where col1 contains/has "[search term]" |
| rechercher | Recherche toutes les colonnes dans la table pour la valeur | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| take | Retourne le nombre spécifié d’enregistrements. Utiliser pour tester une requête Remarque : take et limit sont des synonymes. |
T | take NumberOfRows |
| case | Ajoute une instruction de condition, similaire à if/then/elseif dans d’autres systèmes. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| distinct | Produit une table avec la combinaison distincte des colonnes fournies de la table d’entrée | distinct [ColumnName], [ColumnName] |
| Date/heure | Opérations qui utilisent des fonctions de date et d’heure | |
| il y a | Retourne le décalage horaire par rapport au moment où la requête s’exécute. Par exemple, ago(1h) est une heure avant la lecture de l’horloge actuelle. |
ago(a_timespan) |
| format_datetime | Retourne des données dans différents formats de date. | format_datetime(datetime , format) |
| bin | Arrondit toutes les valeurs dans une période et les regroupe | bin(value,roundTo) |
| Créer/supprimer des colonnes | Ajouter ou supprimer des colonnes dans une table | |
| Génère une seule ligne avec une ou plusieurs expressions scalaires | print [ColumnName =] ScalarExpression [',' ...] |
|
| projet | Sélectionne les colonnes à inclure dans l’ordre spécifié | T | project ColumnName [= Expression] [, ...] Ou T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| project-away | Sélectionne les colonnes à exclure de la sortie | T | project-away ColumnNameOrPattern [, ...] |
| project-keep | Sélectionne les colonnes à conserver dans la sortie | T | project-keep ColumnNameOrPattern [, ...] |
| renommage du projet | Renomme les colonnes dans la sortie du résultat | T | project-rename new_column_name = column_name |
| réorganiser le projet | Réorganiser les colonnes dans la sortie du résultat | T | project-reorder Col2, Col1, Col* asc |
| extend | Crée une colonne calculée et l’ajoute au jeu de résultats | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| Trier et agréger le jeu de données | Restructurer les données en les triant ou en les regroupant de manière significative | |
| Opérateur de tri | Trier les lignes de la table d’entrée par une ou plusieurs colonnes dans l’ordre croissant ou décroissant | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| top | Retourne les premières lignes N du jeu de données lorsque le jeu de données est trié à l’aide de by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| résumer | Regroupe les lignes selon les colonnes de groupe by et calcule les agrégations pour chaque groupe. |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| count | Compte les enregistrements dans la table d’entrée (par exemple, T) Cet opérateur est abrégé pour summarize count() |
T | count |
| unir | Fusionne les lignes de deux tables pour former une nouvelle table en correspondant aux valeurs des colonnes spécifiées de chaque table. Prend en charge une plage complète de types de jointure : fullouter, innerinneruniqueleftantileftantisemileftouterleftsemirightantirightantisemi, rightouterrightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| union | Prend deux tables ou plus et retourne toutes leurs lignes | [T1] | union [T2], [T3], … |
| range | Génère une table avec une série arithmétique de valeurs | range columnName from start to stop step step |
| Mettre en forme les données | Restructurer les données en sortie de manière utile | |
| Recherche | Étend les colonnes d'une table des faits avec des valeurs consultées dans une table des dimensions | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | Transforme les tableaux dynamiques en lignes (expansion à valeurs multiples) | T | mv-expand Column |
| analyser | Évalue une expression de chaîne et analyse sa valeur en une ou plusieurs colonnes calculées. Permet de structurer des données non structurées. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| make-series | Crée une série de valeurs agrégées spécifiées le long d’un axe spécifié | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| laisser | Lie un nom à des expressions qui peuvent faire référence à sa valeur liée. Les valeurs peuvent être des expressions lambda pour créer des fonctions définies par la requête dans le cadre de la requête. Permet let de créer des expressions sur des tables dont les résultats ressemblent à une nouvelle table. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| Généralités | Diverses opérations et fonctions | |
| invoquer | Exécute la fonction sur la table qu’elle reçoit en tant qu’entrée. | T | invoke function([param1, param2]) |
| évaluer pluginName | Évalue les extensions de langage de requête (plug-ins) | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| Visualisation | Opérations qui affichent les données dans un format graphique | |
| rendre | Affiche les résultats sous la forme d’une sortie graphique | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |