KQL クイック リファレンス
この記事では、Kusto クエリ言語の使用を開始するのに役立つ関数とその定義の一覧を示します。
演算子/関数 | 説明 | 構文 |
---|---|---|
フィルター/検索/条件 | フィルターまたは検索によって関連データを検索します | |
where | 特定の述語でのフィルター。 | T | where Predicate |
where contains/has | Contains : 部分文字列の一致が検索されます。Has : 特定の単語が検索されます (パフォーマンスの向上)。 |
T | where col1 contains/has "[search term]" |
search | テーブル内のすべての列で値が検索されます。 | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
take | 指定された数のレコードが返されます。 クエリのテストに使用します。 注: take と limit はシノニムです。 |
T | take NumberOfRows |
case | 他のシステムの if/then/elseif と同様、条件ステートメントが追加されます。 | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
distinct | 入力テーブルの指定された列の個別の組み合わせを含むテーブルが生成されます。 | distinct [ColumnName], [ColumnName] |
日付/時刻 | 日付と時刻の関数を使用する演算 | |
ago | クエリが実行された時刻に対する時間オフセットが返されます。 たとえば、ago(1h) は、現在のクロックの読み取り値の 1 時間前になります。 |
ago(a_timespan) |
format_datetime | データがさまざまな日付の形式で返されます。 | format_datetime(datetime , format) |
bin | 期間内のすべての値が丸めてグループ化されます。 | bin(value,roundTo) |
列の作成/削除 | テーブル内の列が追加または削除されます | |
1 つ以上のスカラー式を使用して単一行が出力されます。 | print [ColumnName =] ScalarExpression [',' ...] |
|
project | 指定された順序で含める列が選択されます | T | project ColumnName [= Expression] [, ...] または T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
project-away | 出力から除外する列を選択します。 | T | project-away ColumnNameOrPattern [, ...] |
project-keep | 出力に保持する列を選択します | T | project-keep ColumnNameOrPattern [, ...] |
project-rename | 結果の出力の列名を変更します | T | project-rename new_column_name = column_name |
project-reorder | 結果の出力の列を並べ替えます | T | project-reorder Col2, Col1, Col* asc |
extend | 計算列が作成され、それが結果セットに追加されます。 | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
データセットの並べ替えと集計 | 並べ替えまたはグループ化により、データが意味のある方法で再構築されます | |
sort 演算子 | 入力テーブルの行を 1 つ以上の列で昇順または降順に並べ替える | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
top | by を使用してデータセットが並べ替えられた場合に、データセットの先頭の N 行が返されます。 |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
summarize | by グループ列に従って行がグループ化され、各グループの集計が計算されます。 |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
count | 入力テーブル内のレコード数がカウントされます (たとえば、T)。 この演算子は、 summarize count() の短縮形です。 |
T | count |
join | 各テーブルの指定された列で値が照合され、2 つのテーブルの行がマージされ、新しいテーブルが形成されます。 結合型のすべての種類 (fullouter 、inner 、innerunique 、leftanti 、leftantisemi 、leftouter 、leftsemi 、rightanti 、rightantisemi 、rightouter 、rightsemi ) がサポートされます。 |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
union | 複数のテーブルが受け取られ、それらすべてのテーブルの行が返されます。 | [T1] | union [T2], [T3], … |
range | 等差級数の値を含むテーブルが生成されます。 | range columnName from start to stop step step |
データの書式設定 | 有用な方法でデータが再構築され出力されます | |
lookup | ディメンション テーブルで検索された値が使用されて、ファクトテーブルの列が拡張されます。 | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
mv-expand | 動的配列が行に変換されます (複数値の展開)。 | T | mv-expand Column |
parse | 文字列式が評価され、その値が 1 つまたは複数の計算列に解析されます。 非構造化データを構造化するために使用されます。 | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
make-series | 指定された軸に沿って、指定された集計値の系列が作成されます。 | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
let | バインドされた値を参照できる式に名前がバインドされます。 値には、クエリの一部としてクエリ定義関数を作成するためのラムダ式を指定できます。 let を使用して、結果が新しいテーブルのように見えるテーブルに式が作成されます。 |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
全般 | その他の演算と関数 | |
invoke | 入力として受け取るテーブルで関数が実行されます。 | T | invoke function([param1, param2]) |
evaluate pluginName | クエリ言語拡張機能 (プラグイン) が評価されます。 | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
視覚化 | データをグラフィック形式で表示する演算 | |
render | 結果がグラフィック出力としてレンダリングされます。 | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |
関連コンテンツ
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示