KQL– rövid áttekintés
Ez a cikk a függvények listáját és azok leírását mutatja be, amelyek segítenek a Kusto lekérdezésnyelv használatának megkezdésében.
| Operátor/függvény | Description | Syntax |
|---|---|---|
| Szűrés/keresés/feltétel | Releváns adatok keresése szűréssel vagy kereséssel | |
| Ahol | Adott predikátum szűrői | T | where Predicate |
| where contains/has | Contains: Megkeresi az összes részszűrési egyezéstHas: Adott szót keres (jobb teljesítmény) |
T | where col1 contains/has "[search term]" |
| search | A tábla összes oszlopában megkeresi az értéket | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| take | A megadott számú rekordot adja vissza. Lekérdezés tesztelése Megjegyzés: take és limit szinonimák. |
T | take NumberOfRows |
| Esetben | Hozzáad egy feltételutasítást, amely hasonló a más rendszerek if/then/elseif függvényéhez. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| Különböző | Tábla létrehozása a bemeneti tábla megadott oszlopainak különböző kombinációjával | distinct [ColumnName], [ColumnName] |
| Dátum/idő | Dátum- és időfüggvényeket használó műveletek | |
| Ezelőtt | A lekérdezés végrehajtásának időpontjához viszonyított időeltolást adja vissza. Például ago(1h) egy órával az aktuális óra felolvasása előtt. |
ago(a_timespan) |
| format_datetime | Különböző dátumformátumú adatokat ad vissza. | format_datetime(datetime , format) |
| Bin | Egy időkeret összes értékének kerekítése és csoportosítása | bin(value,roundTo) |
| Oszlopok létrehozása/eltávolítása | Oszlopok hozzáadása vagy eltávolítása egy táblában | |
| Nyomtatási | Egyetlen sort ad ki egy vagy több skaláris kifejezéssel | print [ColumnName =] ScalarExpression [',' ...] |
| Projekt | Kiválasztja a megadott sorrendbe felvenni kívánt oszlopokat | T | project ColumnName [= Expression] [, ...] Vagy T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| project-away | Kiválasztja a kimenetből kizárandó oszlopokat | T | project-away ColumnNameOrPattern [, ...] |
| projekt-megtartás | Kiválasztja a kimenetben tartani kívánt oszlopokat | T | project-keep ColumnNameOrPattern [, ...] |
| projekt átnevezése | Az eredménykimenet oszlopainak átnevezése | T | project-rename new_column_name = column_name |
| projekt-átrendezés | Oszlopok átrendezése az eredménykimenetben | T | project-reorder Col2, Col1, Col* asc |
| Kiterjesztése | Létrehoz egy számított oszlopot, és hozzáadja az eredményhalmazhoz | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| Adathalmaz rendezése és összesítése | Az adatok strukturálása az adatok értelmes rendezésével vagy csoportosításával | |
| sort operátor | A bemeneti tábla sorainak rendezése egy vagy több oszlop szerint növekvő vagy csökkenő sorrendben | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| Top | Az adathalmaz első N sorát adja eredményül, amikor az adathalmaz a következővel van rendezve: by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| Összefoglalni | Csoportosítja a sorokat a by csoportoszlopok szerint, és kiszámítja az összesítéseket az egyes csoportokon |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| Számít | Rekordok megszámlálása a bemeneti táblában (például T) Ez az operátor rövidített summarize count() |
T | count |
| Csatlakozzon | Két tábla sorainak egyesítése egy új tábla létrehozásához a megadott oszlop(ok) értékeinek megfeleltetésével. Az illesztési típusok teljes körét támogatja: , , , leftantisemileftsemileftantileftouterinneruniquerightanti, , rightouterrightantisemiinnerfullouterrightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| Unió | Két vagy több táblát vesz fel, és az összes sort visszaadja | [T1] | union [T2], [T3], … |
| Tartomány | Értéksorozattal rendelkező táblát hoz létre | range columnName from start to stop step step |
| Adatok formázása | Az adatok átstrukturálása a kimenethez hasznos módon | |
| Keresési | Egy ténytábla oszlopainak kiterjesztése dimenziótáblában felnézett értékekkel | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | Dinamikus tömböket sorokká alakít (többértékű bővítés) | T | mv-expand Column |
| parse | Kiértékel egy sztringkifejezést, és az értékét egy vagy több számított oszlopba elemzi. Strukturálatlan adatok strukturálására használható. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| sorozat készítése | Megadott összesített értékek sorozatának létrehozása egy megadott tengely mentén | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| Hagyja | A nevet olyan kifejezésekhez köti, amelyek hivatkozhatnak a kötött értékére. Az értékek lambdakifejezések lehetnek, hogy lekérdezés által definiált függvényeket hozzanak létre a lekérdezés részeként. Kifejezéseket let hozhat létre olyan táblákon, amelyek eredményei új táblához hasonlóan néznek ki. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| Általános | Egyéb műveletek és függvények | |
| Hivatkozhat | A függvényt azon a táblán futtatja, amelyet bemenetként kap. | T | invoke function([param1, param2]) |
| pluginName kiértékelése | Lekérdezési nyelvi bővítmények (beépülő modulok) kiértékelése | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| Vizualizáció | Az adatokat grafikus formátumban megjelenítő műveletek | |
| Render | Az eredményeket grafikus kimenetként jeleníti meg | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |
Kapcsolódó tartalom
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: