適用対象: ✅Microsoft Fabric✅Azure データ エクスプローラー✅Azure Monitor✅Microsoft Sentinel
この記事では、Kusto クエリ言語の使用を開始するのに役立つ関数とその説明の一覧を示します。
| 演算子/関数 | Description | 構文 |
|---|---|---|
| フィルター/検索/条件 | フィルター処理または検索を使用して関連するデータを検索する | |
| where | 特定の述語に対するフィルター | T | where Predicate |
| 含む/持つ場所 |
Contains: 部分文字列の一致を検索します Has: 特定の単語を検索します (パフォーマンスの向上) |
T | where col1 contains/has "[search term]" |
| 捜索 | テーブル内のすべての列で値を検索します | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| take | 指定したレコード数を返します。 クエリのテストに使用する 注: take と limit はシノニムです。 |
T | take NumberOfRows |
| case | 他のシステムの if/then/elseif と同様に、条件ステートメントを追加します。 | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| 明確な | 入力テーブルの指定された列の個別の組み合わせを持つテーブルを生成します。 | distinct [ColumnName], [ColumnName] |
| 日付/時刻 | 日付と時刻の関数を使用する操作 | |
| 以前に | クエリの実行時間を基準にした時間オフセットを返します。 たとえば、 ago(1h) は現在のクロックの読み取り値の 1 時間前です。 |
ago(a_timespan) |
| format_datetime | さまざまな日付形式のデータを返します。 | format_datetime(datetime , format) |
| バイナリ | 時間枠内のすべての値を丸め、それらをグループ化します | bin(value,roundTo) |
| 列の作成/削除 | テーブル内の列を追加または削除する | |
| 1 つ以上のスカラー式を含む 1 つの行を出力します | print [ColumnName =] ScalarExpression [',' ...] |
|
| プロジェクト | 指定した順序で含める列を選択します | T | project ColumnName [= Expression] [, ...] または T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| プロジェクト・アウェイ | 出力から除外する列を選択します | T | project-away ColumnNameOrPattern [, ...] |
| プロジェクトキープ | 出力に保持する列を選択します | T | project-keep ColumnNameOrPattern [, ...] |
| project-rename | 結果出力の列の名前を変更します | T | project-rename new_column_name = column_name |
| project-reorder | 結果の出力内の列を並べ替えます | T | project-reorder Col2, Col1, Col* asc |
| extend | 計算列を作成し、結果セットに追加します。 | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| データセットの並べ替えと集計 | データを意味のある方法で並べ替えたりグループ化したりして、データを再構築する | |
| sort 演算子 | 入力テーブルの行を 1 つ以上の列で昇順または降順に並べ替える | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| top | を使用してデータセットを並べ替えたときに、データセットの最初の N 行を返します。 by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| 要約 |
by グループの列に従って行をグループ化し、各グループの集計を計算します |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| 数える | 入力テーブル内のレコードをカウントします (例: T) この演算子は summarize count() の略記法です。 |
T | count |
| join | 2 つのテーブルの行をマージし、各テーブルの指定した列の値を照合して新しいテーブルを形成します。 以下の結合タイプの全範囲をサポートしています:fullouter、inner、innerunique、leftanti、leftantisemi、leftouter、leftsemi、rightanti、rightantisemi、rightouter、rightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| union | 2 つ以上のテーブルを受け取り、すべての行を結合して返します | [T1] | union [T2], [T3], … |
| range | 算術一連の値を含むテーブルを生成します。 | range columnName from start to stop step step |
| データの書式設定 | 便利な方法で出力するデータを再構築する | |
| 参照 | ディメンション テーブルで検索された値を使用してファクト テーブルの列を拡張します | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | 動的配列を行に変換します (複数値の拡張) | T | mv-expand Column |
| パーズ | 文字列式を評価し、その値を 1 つ以上の計算列に解析します。 非構造化データの構造化に使用します。 | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| make-series | 指定した軸に沿って一連の指定された集計値を作成します。 | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| 変数宣言 | バインドされた値を参照できる式に名前をバインドします。 値をラムダ式にして、クエリの一部としてクエリ定義関数を作成できます。
letを使用して、結果が新しいテーブルのようなテーブルに対して式を作成します。 |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| 全般 | その他の操作と関数 | |
| 呼び出す | 入力として受け取るテーブルで関数を実行します。 | T | invoke function([param1, param2]) |
| プラグイン名を評価する | クエリ言語拡張機能 (プラグイン) を評価します | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| 視覚化 | データをグラフィカル形式で表示する操作 | |
| レンダ | 結果をグラフィカル出力としてレンダリングします | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |