Riferimento rapido sul linguaggio KQL
Questo articolo contiene un elenco di funzioni e le relative descrizioni, utili per acquisire familiarità con il linguaggio di query Kusto (KQL).
Operatore/Funzione | Descrizione | Sintassi |
---|---|---|
Filtro/Ricerca/Condizione | Trovare dati rilevanti tramite filtro o ricerca | |
where | Applica un filtro in base a un predicato specifico | T | where Predicate |
where contains/has | Contains : cerca eventuali corrispondenze di sottostringheHas : cerca una parola specifica (prestazioni migliori) |
T | where col1 contains/has "[search term]" |
search | Cerca il valore in tutte le colonne della tabella | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
take | Restituisce il numero di record specificato. Usare per testare una query Nota: take e limit sono sinonimi. |
T | take NumberOfRows |
case | Aggiunge un'istruzione di condizione, simile a if/then/elseif in altri sistemi. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
distinct | Produce una tabella con la combinazione distinta delle colonne specificate della tabella di input | distinct [ColumnName], [ColumnName] |
Data/Ora | Operazioni che usano funzioni di data e ora | |
ago | Restituisce la differenza di orario rispetto all'ora di esecuzione della query. Ad esempio, ago(1h) indica un'ora prima dell'ora dell'orologio corrente. |
ago(a_timespan) |
format_datetime | Restituisce i dati in vari formati di data. | format_datetime(datetime , format) |
bin | Arrotonda tutti i valori in un intervallo di tempo e li raggruppa | bin(value,roundTo) |
Creazione/Rimozione di colonne | Aggiungere o rimuovere colonne in una tabella | |
Restituisce una singola riga con una o più espressioni scalari | print [ColumnName =] ScalarExpression [',' ...] |
|
project | Seleziona le colonne da includere nell'ordine specificato | T | project ColumnName [= Expression] [, ...] Oppure T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
project-away | Seleziona le colonne da escludere dall'output | T | project-away ColumnNameOrPattern [, ...] |
project-keep | Seleziona le colonne da mantenere nell'output | T | project-keep ColumnNameOrPattern [, ...] |
project-rename | Rinomina le colonne nell'output del risultato | T | project-rename new_column_name = column_name |
project-reorder | Riordina le colonne nell'output del risultato | T | project-reorder Col2, Col1, Col* asc |
extend | Crea una colonna calcolata e la aggiunge al set di risultati | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
Ordinamento e aggregazione dei set di dati | Ristrutturare i dati ordinandoli o raggruppandoli in modi significativi | |
Operatore sort | Ordinare le righe della tabella di input in base a una o più colonne in ordine crescente o decrescente | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
top | Restituisce le prime N righe del set di dati quando il set di dati è ordinato tramite by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
summarize | Raggruppa le righe in base alle colonne del gruppo by e calcola le aggregazioni su ogni gruppo |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
count | Conta i record nella tabella di input (ad esempio, T) Questo operatore è una forma abbreviata di summarize count() |
T | count |
join | Unisce le righe di due tabelle in modo da formare una nuova tabella, facendo corrispondere i valori delle colonne specificate da ogni tabella. Supporta la gamma completa di tipi di join: fullouter , inner , innerunique , leftanti , leftantisemi , leftouter , leftsemi , rightanti , rightantisemi , rightouter , rightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
union | Restituisce tutte le righe di due o più tabelle | [T1] | union [T2], [T3], … |
range | Genera una tabella con una serie aritmetica di valori | range columnName from start to stop step step |
Formattazione dei dati | Ristrutturare i dati da restituire in modo utile | |
lookup | Estende le colonne di una tabella dei fatti con i valori cercati in una tabella delle dimensioni | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
mv-expand | Converte le matrici dinamiche in righe (espansione multivalore) | T | mv-expand Column |
parse | valuta un'espressione stringa e analizza il relativo valore in una o più colonne calcolate. Usare per la strutturazione di dati non strutturati. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
make-series | Crea una serie di valori aggregati specificati lungo un asse specificato | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
let | Associa un nome a espressioni che possono fare riferimento al relativo valore associato. I valori possono essere espressioni lambda per creare funzioni definite da query come parte della query. Usare let per creare espressioni su tabelle i cui risultati sono simili a una nuova tabella. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
Generalee | Operazioni varie e funzione | |
invoke | Esegue la funzione sulla tabella che riceve come input. | T | invoke function([param1, param2]) |
evaluate pluginName | Valuta le estensioni del linguaggio di query (plug-in) | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
Visualizzazione | Operazioni che visualizzano i dati in formato grafico | |
render | Esegue il rendering dei risultati come output grafico | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |
Contenuti correlati
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere:Invia e visualizza il feedback per