Utiliser les opérateurs de projet
Les opérateurs de projet contrôlent les colonnes à inclure, ajouter, supprimer ou renommer dans le jeu de résultats d’une instruction.
Il existe plusieurs types d’opérateurs de projet. Le tableau suivant est une liste des variantes.
| Opérateur | Descriptif |
|---|---|
| projet | Sélectionnez les colonnes à inclure, renommer ou supprimer, puis insérez les nouvelles colonnes calculées. |
| project-away | Sélectionnez les colonnes de l’entrée à exclure de la sortie. |
| project-keep | Sélectionner les colonnes de l’entrée à conserver dans la sortie. |
| Renommer projet | Sélectionnez les colonnes à renommer dans la sortie résultante. |
| project-reorder | Définissez l’ordre des colonnes dans la sortie résultante. |
Opérateur de projet
Sélectionnez les colonnes à inclure, renommer ou supprimer, puis insérez les nouvelles colonnes calculées.
Conseil / Astuce
L’opérateur de projet limite la taille du jeu de résultats, ce qui augmente les performances
Exécutez chaque requête séparément pour voir les résultats.
SecurityEvent
| project Computer, Account
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project Process, StartDir
Opérateur Project-away
Sélectionnez les colonnes de l’entrée à exclure de la sortie.
Cet exemple s’appuie sur les opérateurs d’extension et de tri précédents. Le projet ne supprime pas la colonne inutile du jeu de résultats. Dans cet exemple, nous allons supprimer la colonne ProcessName.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project-away ProcessName