Настройка результатов в сетке результатов набора запросов KQL

  • Статья

Используйте сетку результатов в наборе запросов KQL, чтобы настроить результаты и выполнить дальнейший анализ данных. В этой статье описываются действия, которые можно выполнить в сетке результатов после выполнения запроса.

Необходимые компоненты

Развертывание ячейки

Развертывание ячеек удобно для просмотра длинных строк или динамических полей, например JSON.

  1. Чтобы открыть развернутое представление, дважды щелкните ячейку. Это представление позволяет считывать длинные строки и обеспечивает форматирование JSON для динамических данных.

    Снимок экрана: набор запросов KQL, показывающий результаты запроса с развернутой ячейкой для отображения длинных строк. Выделена развернутая ячейка.

  2. Щелкните значок справа в верхнем углу сетки результатов, чтобы переключить режим области чтения. Выберите один из следующих режимов области чтения для развернутого представления: встроенный, область внизу или область справа.

    Снимок экрана: область результатов набора запросов KQL с параметром изменения режима просмотра области результатов запроса.

Развертывание строки

При работе с таблицей со многими столбцами разверните всю строку, чтобы легко увидеть обзор различных столбцов и их содержимого.

  1. Щелкните стрелку > слева от строки, которую нужно развернуть.

    Снимок экрана: область результатов набора запросов KQL с развернутой строкой.

  2. В развернутой строке некоторые столбцы развернуты (стрелка указывает вниз), а некоторые — свернуты (стрелка указывает вправо). Чтобы переключиться с одного режима на второй, щелкните соответствующую стрелку.

Группировка столбцов по результатам

В результатах можно выполнять группирование по любому столбцу.

  1. Выполните приведенный ниже запрос:

    StormEvents
| sort by StartTime desc
| take 10

  2. Наведите указатель мыши на столбец "Состояние ", выберите меню и выберите "Группировать по состоянию".

    Снимок экрана: область результатов набора запросов KQL с меню заголовка столбца. Выделен параметр меню для группировки по состоянию.

  3. В сетке щелкните элемент Калифорния, чтобы просмотреть записи для этого штата. Этот тип группировки полезен в исследовательском анализе.

    Снимок экрана: сетка результатов запроса с группой Калифорнии, развернутой в наборе запросов KQL.

  4. Наведите указатель мыши на столбец "Группа", а затем выберите "Сбросить столбцы/" по <имени> столбца. Этот параметр позволяет вернуть сетку в исходное состояние.

    Снимок экрана: параметр сброса столбцов, выделенный в раскрывающемся списке столбцов.

Сокрытие пустых столбцов

Вы можете скрыть или показать пустые столбцы, переключив значок глаз в меню сетки результатов.

Снимок экрана: область результатов набора запросов KQL. Выделен значок глаза, чтобы скрыть и показать пустые столбцы в области результатов.

Столбцы фильтра

Для фильтрации результатов в столбце можно использовать один или несколько операторов.

  1. Чтобы отфильтровать тот или иной столбец, выберите меню для этого столбца.

  2. Выберите значок фильтра.

  3. Выберите нужный оператор в построителе фильтров.

  4. Введите выражение, по которому нужно отфильтровать столбец. Результаты будут фильтроваться по мере ввода.

    Примечание.

    Регистр в фильтре не учитывается.

  5. Чтобы создать фильтр с несколькими условиями, выберите логический оператор для добавления еще одного условия.

  6. Чтобы удалить фильтр, удалите текст из первого условия фильтра.

Статистические вычисления по ячейкам

  1. Выполните следующий запрос.

    StormEvents
| sort by StartTime desc
| where DamageProperty > 5000
| project StartTime, State, EventType, DamageProperty, Source
| take 10

  2. В области результатов выберите несколько числовых ячеек. Сетка таблицы позволяет выбрать несколько строк, столбцов и ячеек и вычислить для них агрегированные значения. Следующие функции поддерживаются для числовых значений: среднее, число, min, max и Sum.

    Снимок экрана: область результатов запроса KQL с выбранными числовыми ячейками. Результат выделения показывает вычисляемую агрегирование этих ячеек.

Фильтрация для запроса из сетки

Еще один простой способ отфильтровать сетку — добавить в запрос оператор фильтра непосредственно из сетки.

  1. Выберите ячейку с содержимым, для которого нужно создать фильтр запроса.

  2. Щелкните правой кнопкой мыши, чтобы открыть для ячейки меню действий. Выберите Добавить выделение как фильтры.

    Снимок экрана: раскрывающийся список с параметром

  3. В редакторе запросов в запрос будет добавлено предложение запроса:

    Снимок экрана редактора запросов с предложением запроса, добавленным из фильтрации в сетке в наборе запросов KQL.

Pivot

Функция режима сводных данных аналогична таблице сводной таблицы Excel, что позволяет выполнять расширенный анализ в самой сетке.

Сводка позволяет принимать значение столбца и превращать их в столбцы. Например, можно выполнить сведение по штату, чтобы создать столбцы для Флориды, Миссури, Алабамы и т. д.

  1. В правой части сетки выберите элемент Столбцы, чтобы просмотреть панель инструментов таблицы.

    Снимок экрана: получение доступа к функции сводного режима.

  2. Выберите режим сводной таблицы, а затем перетащите столбцы следующим образом: EventType в группы строк; DamagePropertyto Values; and State to Column labels.

    Снимок экрана: выделенные имена столбцов для создания сводной таблицы.

    Результаты должны выглядеть, как в следующей сводной таблице:

    Снимок экрана: результаты сводной таблицы.

Поиск в сетке результатов

Вы можете найти определенное выражение в таблице результатов.

  1. Выполните приведенный ниже запрос:

    StormEvents
| where DamageProperty > 5000
| take 1000

  2. Нажмите кнопку "Поиск " справа и введите " Wabash"

    Снимок экрана: область результатов запроса, выделенная параметром поиска в таблице.

  3. Все упоминания требуемого выражения теперь выделены в таблице. Теперь нажимайте клавишу ВВОД, чтобы перейти вперед, или клавиши SHIFT+ENTER, чтобы вернуться назад. Кроме того, можно использовать кнопки со стрелками вверх и вниз рядом с полем поиска.

    Снимок экрана: таблица, содержащая выделенные выражения из результата поиска.

Связанный контент