Riferimento rapido sul linguaggio KQL
Questo articolo contiene un elenco di funzioni e le relative descrizioni, utili per acquisire familiarità con il linguaggio di query Kusto (KQL).
| Operatore/Funzione | Descrizione | Sintassi |
|---|---|---|
| Filtro/Ricerca/Condizione | Trovare dati rilevanti tramite filtro o ricerca | |
| where | Applica un filtro in base a un predicato specifico | T | where Predicate |
| where contains/has | Contains: cerca eventuali corrispondenze di sottostringheHas: cerca una parola specifica (prestazioni migliori) |
T | where col1 contains/has "[search term]" |
| search | Cerca il valore in tutte le colonne della tabella | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| take | Restituisce il numero di record specificato. Usare per testare una query Nota: take e limit sono sinonimi. |
T | take NumberOfRows |
| case | Aggiunge un'istruzione di condizione, simile a if/then/elseif in altri sistemi. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| distinct | Produce una tabella con la combinazione distinta delle colonne specificate della tabella di input | distinct [ColumnName], [ColumnName] |
| Data/Ora | Operazioni che usano funzioni di data e ora | |
| ago | Restituisce la differenza di orario rispetto all'ora di esecuzione della query. Ad esempio, ago(1h) indica un'ora prima dell'ora dell'orologio corrente. |
ago(a_timespan) |
| format_datetime | Restituisce i dati in vari formati di data. | format_datetime(datetime , format) |
| bin | Arrotonda tutti i valori in un intervallo di tempo e li raggruppa | bin(value,roundTo) |
| Creazione/Rimozione di colonne | Aggiungere o rimuovere colonne in una tabella | |
| Restituisce una singola riga con una o più espressioni scalari | print [ColumnName =] ScalarExpression [',' ...] |
|
| project | Seleziona le colonne da includere nell'ordine specificato | T | project ColumnName [= Expression] [, ...] Oppure T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| project-away | Seleziona le colonne da escludere dall'output | T | project-away ColumnNameOrPattern [, ...] |
| project-keep | Seleziona le colonne da mantenere nell'output | T | project-keep ColumnNameOrPattern [, ...] |
| project-rename | Rinomina le colonne nell'output del risultato | T | project-rename new_column_name = column_name |
| project-reorder | Riordina le colonne nell'output del risultato | T | project-reorder Col2, Col1, Col* asc |
| extend | Crea una colonna calcolata e la aggiunge al set di risultati | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| Ordinamento e aggregazione dei set di dati | Ristrutturare i dati ordinandoli o raggruppandoli in modi significativi | |
| Operatore sort | Ordinare le righe della tabella di input in base a una o più colonne in ordine crescente o decrescente | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| top | Restituisce le prime N righe del set di dati quando il set di dati è ordinato tramite by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| summarize | Raggruppa le righe in base alle colonne del gruppo by e calcola le aggregazioni su ogni gruppo |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| count | Conta i record nella tabella di input (ad esempio, T) Questo operatore è una forma abbreviata di summarize count() |
T | count |
| join | Unisce le righe di due tabelle in modo da formare una nuova tabella, facendo corrispondere i valori delle colonne specificate da ogni tabella. Supporta la gamma completa di tipi di join: fullouter, inner, innerunique, leftanti, leftantisemi, leftouter, leftsemi, rightanti, rightantisemi, rightouter, rightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| union | Restituisce tutte le righe di due o più tabelle | [T1] | union [T2], [T3], … |
| range | Genera una tabella con una serie aritmetica di valori | range columnName from start to stop step step |
| Formattazione dei dati | Ristrutturare i dati da restituire in modo utile | |
| lookup | Estende le colonne di una tabella dei fatti con i valori cercati in una tabella delle dimensioni | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | Converte le matrici dinamiche in righe (espansione multivalore) | T | mv-expand Column |
| parse | valuta un'espressione stringa e analizza il relativo valore in una o più colonne calcolate. Usare per la strutturazione di dati non strutturati. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| make-series | Crea una serie di valori aggregati specificati lungo un asse specificato | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| let | Associa un nome a espressioni che possono fare riferimento al relativo valore associato. I valori possono essere espressioni lambda per creare funzioni definite da query come parte della query. Usare let per creare espressioni su tabelle i cui risultati sono simili a una nuova tabella. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| Generalee | Operazioni varie e funzione | |
| invoke | Esegue la funzione sulla tabella che riceve come input. | T | invoke function([param1, param2]) |
| evaluate pluginName | Valuta le estensioni del linguaggio di query (plug-in) | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| Visualizzazione | Operazioni che visualizzano i dati in formato grafico | |
| render | Esegue il rendering dei risultati come output grafico | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |
Contenuti correlati
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per