extend 演算子を使用する
extend 演算子は計算列を作成し、新しい列を結果セットに追加します。
次の KQL の例では、extend 演算子を使用して、プロセスが開始されたディレクトリを含む新しい列 StartDir を作成します。 StartDir 列は、部分文字列関数の結果を含む計算列です。
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))