Snabbreferens för KQL
Den här artikeln visar en lista över funktioner och deras beskrivningar som hjälper dig att komma igång med Kusto-frågespråk.
Operator/funktion | Description | Syntax |
---|---|---|
Filtrera/söka/villkor | Hitta relevanta data genom att filtrera eller söka | |
Där | Filter för ett specifikt predikat | T | where Predicate |
där innehåller/har | Contains : Söker efter en delsträngsmatchningHas : Söker efter ett specifikt ord (bättre prestanda) |
T | where col1 contains/has "[search term]" |
search | Söker i alla kolumner i tabellen efter värdet | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
Ta | Returnerar det angivna antalet poster. Använda för att testa en fråga Obs! take och limit är synonymer. |
T | take NumberOfRows |
Fall | Lägger till ett villkorsuttryck som liknar if/then/elseif i andra system. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
Distinkta | Skapar en tabell med den distinkta kombinationen av de angivna kolumnerna i indatatabellen | distinct [ColumnName], [ColumnName] |
Datum/tid | Åtgärder som använder datum- och tidsfunktioner | |
Sedan | Returnerar tidsförskjutningen i förhållande till den tid då frågan körs. Till exempel ago(1h) är en timme före den aktuella klockans läsning. |
ago(a_timespan) |
format_datetime | Returnerar data i olika datumformat. | format_datetime(datetime , format) |
Bin | Avrundar alla värden inom en tidsram och grupperar dem | bin(value,roundTo) |
Skapa/ta bort kolumner | Lägga till eller ta bort kolumner i en tabell | |
Skriva ut | Matar ut en enskild rad med ett eller flera skaläruttryck | print [ColumnName =] ScalarExpression [',' ...] |
Projekt | Markerar de kolumner som ska inkluderas i den angivna ordningen | T | project ColumnName [= Expression] [, ...] Eller T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
project-away | Markerar de kolumner som ska undantas från utdata | T | project-away ColumnNameOrPattern [, ...] |
project-keep | Markerar de kolumner som ska behållas i utdata | T | project-keep ColumnNameOrPattern [, ...] |
project-rename | Byter namn på kolumner i resultatutdata | T | project-rename new_column_name = column_name |
project-reorder | Ordnar om kolumner i resultatutdata | T | project-reorder Col2, Col1, Col* asc |
Utöka | Skapar en beräknad kolumn och lägger till den i resultatuppsättningen | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
Sortera och aggregera datauppsättning | Omstrukturera data genom att sortera eller gruppera dem på meningsfulla sätt | |
sort-operatorn | Sortera raderna i indatatabellen efter en eller flera kolumner i stigande eller fallande ordning | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
Topp | Returnerar de första N raderna i datauppsättningen när datauppsättningen sorteras med hjälp av by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
Sammanfatta | Grupperar raderna enligt gruppkolumnerna by och beräknar sammansättningar över varje grupp |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
Räkna | Räknar poster i indatatabellen (till exempel T) Den här operatorn är förkortning för summarize count() |
T | count |
Ansluta sig till | Sammanfogar raderna i två tabeller för att bilda en ny tabell genom att matcha värdena för de angivna kolumnerna från varje tabell. Stöder ett komplett utbud av kopplingstyper: fullouter , inner , innerunique , leftanti , leftantisemi , leftouter , leftsemi , rightanti , rightantisemi , , rightouter rightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
Unionen | Tar två eller flera tabeller och returnerar alla sina rader | [T1] | union [T2], [T3], … |
Utbud | Genererar en tabell med en aritmetikserie med värden | range columnName from start to stop step step |
Formatera data | Omstrukturera data till utdata på ett användbart sätt | |
Sökning | Utökar kolumnerna i en faktatabell med värden som har letats upp i en dimensionstabell | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
mv-expand | Omvandlar dynamiska matriser till rader (flervärdesexpansion) | T | mv-expand Column |
parse | Utvärderar ett stränguttryck och parsar dess värde till en eller flera beräknade kolumner. Används för att strukturera ostrukturerade data. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
make-series | Skapar serie med angivna aggregerade värden längs en angiven axel | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
Låt | Binder ett namn till uttryck som kan referera till dess bundna värde. Värden kan vara lambda-uttryck för att skapa frågedefinierade funktioner som en del av frågan. Använd let för att skapa uttryck över tabeller vars resultat ser ut som en ny tabell. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
Allmänt | Diverse åtgärder och funktioner | |
Åberopa | Kör funktionen i den tabell som den tar emot som indata. | T | invoke function([param1, param2]) |
utvärdera pluginName | Utvärderar frågespråktillägg (plugin-program) | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
Visualisering | Åtgärder som visar data i grafiskt format | |
Göra | Renderar resultat som grafiska utdata | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |
Relaterat innehåll
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för