Referência rápida de KQL
Este artigo mostra uma lista de funções e suas descrições para ajudar você a começar a usar a linguagem de consulta do Azure Data Explorer.
| Operador/função | Descrição | Syntax |
|---|---|---|
| Filtro/pesquisa/condição | Localizar dados relevantes filtrando ou pesquisando | |
| where | Filtra segundo um predicado específico | T | where Predicate |
| where contains/has | Contains: busca qualquer correspondência de substringHas: busca uma palavra específica (melhor desempenho) |
T | where col1 contains/has "[search term]" |
| search | Pesquisa pelo valor em todas as colunas da tabela | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| take | Retorna o número especificado de registros. Use para testar uma consulta Observação: take e limit são sinônimos. |
T | take NumberOfRows |
| case | Adiciona uma instrução de condição, semelhante a if/then/elseIf em outros sistemas. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| distinct | Produz uma tabela com a combinação distinta das colunas fornecidas da tabela de entrada | distinct [ColumnName], [ColumnName] |
| Data/hora | Operações que usam funções de data e hora | |
| ago | Retorna o deslocamento de tempo relativo à hora em que a consulta é executada. Por exemplo, ago(1h) é uma hora antes da leitura atual do relógio. |
ago(a_timespan) |
| format_datetime | Retorna dados em vários formatos de data. | format_datetime(datetime , format) |
| bin | Arredonda todos os valores em um período e os agrupa | bin(value,roundTo) |
| Criar/remover colunas | Adicionar ou remover colunas em uma tabela | |
| Gera uma só linha com uma ou mais expressões escalares | print [ColumnName =] ScalarExpression [',' ...] |
|
| project | Seleciona as colunas a serem incluídas na ordem especificada | T | project ColumnName [= Expression] [, ...] Ou T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| project-away | Seleciona as colunas a serem excluídas da saída | T | project-away ColumnNameOrPattern [, ...] |
| project-keep | Seleciona as colunas a serem mantidas na saída | T | project-keep ColumnNameOrPattern [, ...] |
| project-rename | Renomeia colunas na saída de resultado | T | project-rename new_column_name = column_name |
| project-reorder | Reordena colunas na saída de resultado | T | project-reorder Col2, Col1, Col* asc |
| extend | Cria uma coluna calculada e a adiciona ao conjunto de resultados | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| Classificar e agregar conjunto de dados | Reestruture os dados classificando-os ou agrupando-os de maneiras significativas | |
| operador sort | Classificar as linhas da tabela de entrada por uma ou mais colunas em ordem crescente ou decrescente | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| início | Retorna as N primeiras linhas do conjunto de dados quando ele é classificado usando by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| summarize | Agrupa as linhas de acordo com as colunas do grupo by e calcula as agregações em cada grupo |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| contagem | Conta os registros na tabela de entrada (por exemplo, T) Este operador é uma abreviação de summarize count() |
T | count |
| join | Mescla as linhas das duas tabelas para formar uma nova tabela, correspondendo os valores das colunas especificadas de cada tabela. Dá suporte a uma gama completa de tipos de junção: fullouter, inner, innerunique, leftanti, leftantisemi, leftouter, leftsemi, rightanti, rightantisemi, rightouter, rightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| union | Usa duas ou mais tabelas e retorna todas as suas linhas | [T1] | union [T2], [T3], … |
| range | Gera uma tabela com uma série aritmética de valores | range columnName from start to stop step step |
| Formatar dados | Reestruture os dados para gerar uma saída de maneira útil | |
| lookup | Estende as colunas de uma tabela de fatos com valores pesquisados em uma tabela de dimensões | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | Transforma matrizes dinâmicas em linhas (expansão de vários valores) | T | mv-expand Column |
| parse | Avalia uma expressão de cadeia de caracteres e analisa seu valor em uma ou mais colunas calculadas. Use para estruturar dados não estruturados. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| make-series | Cria uma série de valores agregados especificados ao longo de um eixo especificado | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| let | Associa um nome a expressões que podem se referir ao valor associado. Os valores podem ser expressões lambda para criar funções definidas por consulta como parte da consulta. Use let para criar expressões em tabelas cujos resultados são semelhantes a uma nova tabela. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| Geral | Operações e funções diversas | |
| invoke | Executa a função na tabela que recebe como entrada. | T | invoke function([param1, param2]) |
| evaluate pluginName | Avalia as extensões de linguagem de consulta (plug-ins) | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| Visualização | Operações que exibem os dados em formato gráfico | |
| render | Renderiza os resultados como uma saída gráfica | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |
Conteúdo relacionado
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de