Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Szolgáltatások váltása a Verzió legördülő listával. További információ a navigációról.
A következőkre vonatkozik: ✅ Microsoft Fabric ✅ Azure Data Explorer ✅ Azure Monitor ✅ Microsoft Sentinel
Ez a cikk a függvények listáját és azok leírását mutatja be, amelyek segítenek a Kusto lekérdezési nyelv használatának megkezdésében.
| Operátor és függvény | Description | Szemantika |
|---|---|---|
| Szűrés/keresés/feltétel | Releváns adatok keresése szűréssel vagy kereséssel | |
| where | Adott predikátum szűrői | T | where Predicate |
| ahol tartalmaz/van |
Contains: Az esetleges részszűrési egyezéseket keresi Has: Egy adott szót keres (jobb teljesítmény) |
T | where col1 contains/has "[search term]" |
| keresés | A tábla összes oszlopában megkeresi az értéket | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| vegyél | A megadott számú rekordot adja vissza. Lekérdezés tesztelése Megjegyzés: take és limit szinonimák. |
T | take NumberOfRows |
| eset | Más rendszerekben a if/then/elseif függvényhez hasonló feltételutasítást ad hozzá. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| különböző | Tábla létrehozása a bemeneti tábla megadott oszlopainak különböző kombinációjával | distinct [ColumnName], [ColumnName] |
| Dátum/idő | Dátum- és időfüggvényeket használó műveletek | |
| ezelőtt | A lekérdezés végrehajtásának időpontjához viszonyított időeltolódást adja vissza. Például ago(1h) egy órával az aktuális óra kijelzése előtt van. |
ago(a_timespan) |
| format_datetime | Különböző dátumformátumú adatokat ad vissza. | format_datetime(datetime , format) |
| bin | Egy időkeret összes értékének kerekítése és csoportosítása | bin(value,roundTo) |
| Oszlopok létrehozása/eltávolítása | Oszlopok hozzáadása vagy eltávolítása egy táblában | |
| Egyetlen sort ad ki egy vagy több skaláris kifejezéssel | print [ColumnName =] ScalarExpression [',' ...] |
|
| projekt | Kiválasztja a megadott sorrendbe felvenni kívánt oszlopokat | T | project ColumnName [= Expression] [, ...] Vagy T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| projektáthelyezés | Kiválasztja a kimenetből kizárni kívánt oszlopokat | T | project-away ColumnNameOrPattern [, ...] |
| projekt-kezelés | Kiválasztja a kimenetben tartani kívánt oszlopokat | T | project-keep ColumnNameOrPattern [, ...] |
| projekt átnevezése | Az eredménykimenet oszlopainak átnevezése | T | project-rename new_column_name = column_name |
| projekt-átrendezés | Oszlopok átrendezése az eredménykimenetben | T | project-reorder Col2, Col1, Col* asc |
| extend | Létrehoz egy számított oszlopot, és hozzáadja az eredményhalmazhoz | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| Adathalmaz rendezése és összesítése | Az adatok átstrukturálása a rendezéssel vagy a csoportosítással értelmezhető módon | |
| rendezési operátor | A bemeneti tábla sorainak rendezése növekvő vagy csökkenő sorrendben egy vagy több oszlop szerint | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| felső | Az adathalmaz első N sorait adja vissza, amikor az adathalmazt a rendszer a következővel rendezi: by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| összegez | Csoportosítja a sorokat a by csoportoszlopok szerint, és kiszámítja az összesítéseket az egyes csoportokon |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| gróf | Rekordok megszámlálása a bemeneti táblában (például T) Ez az operátor rövidítése a következőnek: summarize count() |
T | count |
| join | Két tábla sorainak egyesítése új táblázat létrehozásához a megadott oszlop(ok) értékeinek megfeleltetésével. Az illesztéstípusok teljes skáláját támogatja: , , , fullouter, innerinneruniqueleftanti, leftantisemi, leftouter, leftsemi, rightantirightantisemirightouterrightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| union | Két vagy több táblát összesít, és visszaadja azok összes sorát. | [T1] | union [T2], [T3], … |
| Tartomány | Számtani sorozatot tartalmazó táblát hoz létre | range columnName from start to stop step step |
| Adatok formázása | Az adatok átstrukturálása a kimenetre hasznos módon | |
| Keresési | Egy ténytábla oszlopainak kiterjesztése dimenziótáblában kereshető értékekkel | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | Dinamikus tömbök sortá alakítása (többértékű bővítés) | T | mv-expand Column |
| elemez | Kiértékel egy sztringkifejezést, és az értékét egy vagy több számított oszlopba elemzi. Strukturálatlan adatok strukturálására használható. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| sorozat készítése | Megadott összesített értékek sorozatának létrehozása egy megadott tengely mentén | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| let | A nevet olyan kifejezésekhez köti, amelyek hivatkozhatnak a kötött értékére. Az értékek lehetnek lambda-kifejezések, amelyek lekérdezéssel definiált függvényeket hoznak létre a lekérdezés részeként.
let kifejezések létrehozására használható olyan táblákon, amelyek eredményei új táblát eredményeznek. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| Általános | Egyéb műveletek és függvények | |
| hív | A függvényt azon a táblán futtatja, amelyet bemenetként kap. | T | invoke function([param1, param2]) |
| Értékelje ki a pluginName-t | Lekérdezési nyelvi bővítmények (beépülő modulok) kiértékelése | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| Vizualizáció | Az adatokat grafikus formátumban megjelenítő műveletek | |
| megjelenít | Az eredményeket grafikus kimenetként jeleníti meg | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |