KQL-snelzoekgids
In dit artikel vindt u een lijst met functies en de bijbehorende beschrijvingen om u op weg te helpen met Kusto-querytaal.
| Operator/functie | Description | Syntax |
|---|---|---|
| Filteren/zoeken/voorwaarde | Relevante gegevens zoeken door te filteren of te zoeken | |
| Waar | Filters op een specifiek predicaat | T | where Predicate |
| where contains/has | Contains: Zoekt naar een subtekenreeksovereenkomstHas: Zoekt naar een specifiek woord (betere prestaties) |
T | where col1 contains/has "[search term]" |
| zoeken | Zoekt in alle kolommen in de tabel naar de waarde | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| Nemen | Retourneert het opgegeven aantal records. Gebruiken om een query te testen Opmerking: take en limit zijn synoniemen. |
T | take NumberOfRows |
| Geval | Voegt een voorwaarde-instructie toe, vergelijkbaar met if/then/elseif in andere systemen. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| distinct | Produceert een tabel met de unieke combinatie van de opgegeven kolommen van de invoertabel | distinct [ColumnName], [ColumnName] |
| Datum/tijd | Bewerkingen die datum- en tijdfuncties gebruiken | |
| Geleden | Retourneert de tijdsverschil ten opzichte van het tijdstip waarop de query wordt uitgevoerd. Is bijvoorbeeld ago(1h) één uur voor de huidige klok. |
ago(a_timespan) |
| format_datetime | Retourneert gegevens in verschillende datumnotaties. | format_datetime(datetime , format) |
| Bin | Hiermee worden alle waarden in een tijdsbestek afgerond en gegroepeerd | bin(value,roundTo) |
| Kolommen maken/verwijderen | Kolommen in een tabel toevoegen of verwijderen | |
| Afdrukken | Voert één rij uit met een of meer scalaire expressies | print [ColumnName =] ScalarExpression [',' ...] |
| Project | Selecteert de kolommen die moeten worden opgenomen in de opgegeven volgorde | T | project ColumnName [= Expression] [, ...] of T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| project-away | Selecteert de kolommen die moeten worden uitgesloten van de uitvoer | T | project-away ColumnNameOrPattern [, ...] |
| project-keep | Selecteert de kolommen die u in de uitvoer wilt bewaren | T | project-keep ColumnNameOrPattern [, ...] |
| projectnaam wijzigen | De naam van kolommen in de resultaatuitvoer wijzigen | T | project-rename new_column_name = column_name |
| opnieuw ordenen van project | De volgorde van kolommen in de resultaatuitvoer wijzigen | T | project-reorder Col2, Col1, Col* asc |
| Uitbreiden | Hiermee maakt u een berekende kolom en voegt u deze toe aan de resultatenset | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| Gegevensset sorteren en aggregeren | De gegevens herstructureren door ze op zinvolle manieren te sorteren of te groeperen | |
| operator sort | De rijen van de invoertabel sorteren op een of meer kolommen in oplopende of aflopende volgorde | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| Boven | Retourneert de eerste N rijen van de gegevensset wanneer de gegevensset is gesorteerd met by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| Samenvatten | Groepeert de rijen op basis van de by groepskolommen en berekent aggregaties voor elke groep |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| Tellen | Records in de invoertabel tellen (bijvoorbeeld T) Deze operator is de afkorting voor summarize count() |
T | count |
| Join | Hiermee worden de rijen van twee tabellen samengevoegd tot een nieuwe tabel door overeenkomende waarden van de opgegeven kolom(en) uit elke tabel. Ondersteunt een groot aantal jointypen: , , , , leftanti, leftantisemileftouter, , leftsemirightanti, rightantisemi, , , rightouterinneruniqueinnerfullouterrightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| Unie | Neemt twee of meer tabellen en retourneert al hun rijen | [T1] | union [T2], [T3], … |
| Bereik | Hiermee wordt een tabel gegenereerd met een rekenkundige reeks waarden | range columnName from start to stop step step |
| Gegevens opmaken | De gegevens op een nuttige manier opnieuw structureren voor uitvoer | |
| Lookup | Breidt de kolommen van een feitentabel uit met waarden die zijn opgezoekd in een dimensietabel | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | Dynamische matrices omzetten in rijen (uitbreiding met meerdere waarden) | T | mv-expand Column |
| parse | Evalueert een tekenreeksexpressie en parseert de waarde ervan in een of meer berekende kolommen. Gebruiken voor het structureren van ongestructureerde gegevens. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| make-series | Hiermee maakt u een reeks opgegeven geaggregeerde waarden langs een opgegeven as | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| Laat | Hiermee wordt een naam gebonden aan expressies die kunnen verwijzen naar de afhankelijke waarde. Waarden kunnen lambda-expressies zijn om querygedefinieerde functies te maken als onderdeel van de query. Gebruik let om expressies te maken voor tabellen waarvan de resultaten eruitzien als een nieuwe tabel. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| Algemeen | Diverse bewerkingen en functie | |
| aanroepen | Hiermee wordt de functie uitgevoerd op de tabel die als invoer wordt ontvangen. | T | invoke function([param1, param2]) |
| pluginName evalueren | Evalueert extensies voor querytaal (invoegtoepassingen) | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| Visualisatie | Bewerkingen waarmee de gegevens in een grafische indeling worden weergegeven | |
| Render | Geeft resultaten weer als een grafische uitvoer | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |
Gerelateerde inhoud
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor