Eredmények testreszabása a KQL-lekérdezéskészlet eredményrácsában

  • Cikk

A KQL-lekérdezéskészlet eredményrácsával testre szabhatja az eredményeket, és további elemzéseket végezhet az adatokon. Ez a cikk azokat a műveleteket ismerteti, amelyek a lekérdezés futtatása után elvégezhetők az eredményrácson.

Előfeltételek

Cella kibontása

A cellák kibontásával hosszú sztringeket vagy dinamikus mezőket, például JSON-mezőket tekinthet meg.

  1. Kibontott nézet megnyitásához kattintson duplán egy cellára. Ez a nézet lehetővé teszi a hosszú sztringek olvasását, és JSON-formázást biztosít a dinamikus adatokhoz.

    Képernyőkép a KQL-lekérdezéskészletről, amely egy kibontott cellával rendelkező lekérdezés eredményeit jeleníti meg a hosszú sztringek megjelenítéséhez. A kibontott cella ki van emelve.

  2. Az eredményrács jobb felső sarkában lévő ikonra kattintva válthat az olvasóablak üzemmódjai között. A kibontott nézethez válasszon az alábbi olvasóablak-módok közül: beágyazott, alsó és jobb oldali panel.

    Képernyőkép a KQL Lekérdezéskészlet eredményei panelről, amelyen a lekérdezési eredmények panel nézetmódjának módosítására szolgáló lehetőség látható.

Sor kibontása

Ha több oszlopból álló táblával dolgozik, bontsa ki a teljes sort, hogy könnyen áttekinthesse a különböző oszlopokat és azok tartalmát.

  1. Kattintson a kibontani kívánt sortól balra lévő nyílra > .

    Képernyőkép a KQL Queryset eredménypaneljéről, amelyen egy kibontott sor látható.

  2. A kibontott sorban egyes oszlopok ki vannak bontva (lefelé mutató nyíl), és egyes oszlopok összecsukva vannak (jobbra mutató nyíl). Ezekre a nyilakra kattintva válthat a két mód között.

Oszlop csoportosítása eredmények szerint

Az eredményeken belül az eredményeket bármely oszlop szerint csoportosíthatja.

  1. Futtassa az alábbi lekérdezést:

    StormEvents
| sort by StartTime desc
| take 10

  2. Mutasson az Állapot oszlopra, válassza a menüt, és válassza a Csoportosítás állapot szerint lehetőséget.

    Képernyőkép a KQL Queryset eredménypaneljéről, amelyen az Állapot oszlop menüje látható. Az állapot szerinti csoportosítás menübeállítása ki van emelve.

  3. A rácson kattintson duplán Kaliforniára az adott állapot rekordjainak kibontásához és megtekintéséhez. Ez a fajta csoportosítás hasznos lehet felderítési jellegű elemzések elvégzésekor.

    Képernyőkép egy lekérdezés eredményrácsáról, amelyen a Kaliforniai csoport ki van bontva a KQL-lekérdezéskészletben.

  4. Vigye az egérmutatót a Csoport oszlop fölé, majd válassza a Csoportbontás oszlopnév/> alapján <lehetőséget. Ez a beállítás a rács eredeti állapotát adja vissza.

    Képernyőkép az oszlop legördülő listájában kiemelt új oszlopok beállításáról.

Üres oszlopok elrejtése

Az üres oszlopokat elrejtheti vagy megjelenítheti az eredményrács menüjében lévő szem ikonra kattintva.

Képernyőkép a KQL-lekérdezéskészlet eredménypaneljéről. Az eredménypanel üres oszlopainak elrejtésére és megjelenítésére szolgáló szem ikon ki van emelve.

Oszlopok szűrése

Egy vagy több operátor használatával szűrheti az oszlopok eredményeit.

  1. Egy adott oszlop szűréséhez válassza ki az adott oszlop menüjét.

  2. Válassza ki a szűrő ikont.

  3. A szűrőszerkesztőben válassza ki a kívánt operátort.

  4. Írja be azt a kifejezést, amelyre szűrni szeretné az oszlopot. A rendszer gépelés közben szűri az eredményeket.

    Feljegyzés

    A szűrő nem érzékeny a kis- és nagybetűkre.

  5. Többfeltételes szűrő létrehozásához válasszon ki egy logikai operátort egy másik feltétel hozzáadásához

  6. A szűrő eltávolításához törölje a szöveget az első szűrőfeltételből.

Cellastatisztika futtatása

  1. Futtassa az alábbi lekérdezést.

    StormEvents
| sort by StartTime desc
| where DamageProperty > 5000
| project StartTime, State, EventType, DamageProperty, Source
| take 10

  2. Az eredménypanelen jelöljön ki néhány numerikus cellát. A táblázatrácson több sort, oszlopot és cellát jelölhet ki, és összesítéseket számíthat ki rajtuk. Numerikus értékek esetén az alábbi függvények támogatottak: Átlag, Darabszám, Min, Max és Összeg.

    Képernyőkép a KQL-lekérdezés eredménypaneljéről, amelyen néhány kijelölt numerikus cella látható. A kijelölés eredménye ezeknek a celláknak a számított összesítését mutatja.

Szűrés rácsról történő lekérdezésre

A rács szűrésének másik egyszerű módja, ha közvetlenül a rácsról ad hozzá egy szűrőoperátort a lekérdezéshez.

  1. Jelölje ki azt a cellát, amelynek tartalma lekérdezésszűrőt szeretne létrehozni.

  2. Kattintson a jobb gombbal a cellaműveletek menü megnyitásához. Válassza a Kijelölés hozzáadása szűrőként lehetőséget.

    Képernyőkép egy legördülő listáról, amelyen a Kijelölés hozzáadása szűrőként lehetőséggel közvetlenül a rácsról kérdezhet le.

  3. A lekérdezésszerkesztőben egy lekérdezési záradék lesz hozzáadva a lekérdezéshez:

    Képernyőkép a lekérdezésszerkesztőről, amelyen a KQL-lekérdezéskészletben a szűrésből hozzáadott lekérdezési záradék látható.

Kimutatás

A kimutatás mód funkciója hasonló az Excel kimutatástábláihoz, így speciális elemzéseket hajthat végre magában a rácsban.

A kimutatás lehetővé teszi, hogy egy oszlop értékét oszlopmá alakítsa. Például a State (Állam) oszlopokat készíthet Florida, Missouri, Alabama stb. számára.

  1. A rács jobb oldalán válassza az Oszlopok lehetőséget a táblázat eszközpaneljének megtekintéséhez.

    Képernyőkép a kimutatás mód funkció eléréséről.

  2. Válassza a Kimutatás mód lehetőséget, majd húzza az oszlopokat az alábbiak szerint: EventType és Sorcsoportok; DamageProperty to Values; and State to Column labels.

    A kijelölt oszlopneveket kiemelő képernyőkép a kimutatástábla létrehozásához.

    Az eredménynek a következő kimutatástáblához hasonlóan kell kinéznie:

    Képernyőkép egy kimutatásban lévő eredményekről.

Keresés a találati rácsban

Az eredménytáblában kereshet egy adott kifejezést.

  1. Futtassa az alábbi lekérdezést:

    StormEvents
| where DamageProperty > 5000
| take 1000

  2. Válassza a keresés gombot a jobb oldalon, és írja be a "Wabash" kifejezést

    Képernyőkép a lekérdezés eredménypaneljéről, amely kiemeli a keresési lehetőséget a táblázatban.

  3. A keresett kifejezés összes említése ki van emelve a táblázatban. A közöttük való navigáláshoz kattintson az Enter gombra a továbblépéshez, a Shift+Enter billentyűkombinációval pedig visszafelé, vagy használhatja a keresőmező melletti fel- és le gombokat.

    Képernyőkép a keresési eredményekből kiemelt kifejezéseket tartalmazó táblázatról.

Kapcsolódó tartalom