KQL hızlı başvurusu
Bu makalede, Kusto Sorgu Dili kullanmaya başlamanıza yardımcı olacak işlevlerin listesi ve açıklamaları gösterilir.
İşleç/İşlev | Description | Syntax |
---|---|---|
Filtre/Arama/Koşul | Filtreleyerek veya arayarak ilgili verileri bulma | |
Nerede | Belirli bir koşuldaki filtreler | T | where Predicate |
where contains/has | Contains : Herhangi bir alt dize eşleşmesini ararHas : Belirli bir sözcüğü arar (daha iyi performans) |
T | where col1 contains/has "[search term]" |
search | Tablodaki tüm sütunlarda değer arar | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
al | Belirtilen kayıt sayısını döndürür. Sorguyu test etmek için kullanma Not: take ve limit eş anlamlıdır. |
T | take NumberOfRows |
Durumda | Diğer sistemlerde if/then/elseif benzeri bir koşul deyimi ekler. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
Farklı | Giriş tablosunun sağlanan sütunlarının ayrı bileşimine sahip bir tablo oluşturur | distinct [ColumnName], [ColumnName] |
Tarih/Saat | Tarih ve saat işlevlerini kullanan işlemler | |
Önce | Sorgunun yürütüldüğü zamana göre saat uzaklığını döndürür. Örneğin, ago(1h) geçerli saatin okunmasından bir saat öncesidir. |
ago(a_timespan) |
format_datetime | Verileri çeşitli tarih biçimlerinde döndürür. | format_datetime(datetime , format) |
bölme | Zaman çerçevesi içindeki tüm değerleri yuvarlar ve gruplandırma | bin(value,roundTo) |
Sütun Oluştur/Kaldır | Tabloya sütun ekleme veya kaldırma | |
Yazdırma | Bir veya daha fazla skaler ifade içeren tek bir satırın çıkışını oluşturur | print [ColumnName =] ScalarExpression [',' ...] |
Proje | Belirtilen sıraya eklenecek sütunları seçer | T | project ColumnName [= Expression] [, ...] Veya T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
proje dışı | Çıktının dışında tutulacak sütunları seçer | T | project-away ColumnNameOrPattern [, ...] |
project-keep | Çıkışta tutulacak sütunları seçer | T | project-keep ColumnNameOrPattern [, ...] |
project-rename | Sonuç çıkışındaki sütunları yeniden adlandırır | T | project-rename new_column_name = column_name |
project-reorder | Sonuç çıkışındaki sütunları yeniden sıralar | T | project-reorder Col2, Col1, Col* asc |
Genişlet -mek | Hesaplanmış sütun oluşturur ve bunu sonuç kümesine ekler | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
Veri Kümesini Sıralama ve Toplama | Verileri anlamlı yollarla sıralayarak veya gruplandırarak yeniden yapılandırma | |
sort işleci | Giriş tablosunun satırlarını artan veya azalan düzende bir veya daha fazla sütuna göre sıralama | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
Sayfanın Üstü | Veri kümesi kullanılarak sıralandığında veri kümesinin ilk N satırını döndürür by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
Özetle | Satırları grup sütunlarına by göre gruplandırın ve her grup üzerindeki toplamaları hesaplar |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
Sayısı | Giriş tablosundaki kayıtları sayar (örneğin, T) Bu işleç şu değer için kısaltmadır: summarize count() |
T | count |
Katılın | İki tablonun satırlarını birleştirerek her tablodan belirtilen sütunların değerlerini eşleştirerek yeni bir tablo oluşturur. Tüm birleştirme türlerini destekler: fullouter , inner , , innerunique , leftanti , leftantisemi , , leftouter , rightanti leftsemi rightantisemi , rightouter ,rightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
Birliği | İki veya daha fazla tablo alır ve tüm satırlarını döndürür | [T1] | union [T2], [T3], … |
Aralığı | Aritmetik değer serisine sahip bir tablo oluşturur | range columnName from start to stop step step |
Verileri Biçimlendir | Verileri yararlı bir şekilde çıkış olacak şekilde yeniden yapılandırma | |
Arama | Olgu tablosunun sütunlarını boyut tablosunda aranan değerlerle genişletir | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
mv-expand | Dinamik dizileri satırlara dönüştürür (çok değerli genişletme) | T | mv-expand Column |
Ayrıştı -rma | Bir dize ifadesini değerlendirir ve değerini bir veya daha fazla hesaplanmış sütuna ayrıştırıyor. Yapılandırılmamış verileri yapılandırmak için kullanın. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
make-series | Belirtilen eksen boyunca belirtilen toplanmış değerler serisini oluşturur | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
Izin | Bir adı, ilişkili değerine başvurabilen ifadelere bağlar. Değerler, sorgunun bir parçası olarak sorgu tanımlı işlevler oluşturmak için lambda ifadeleri olabilir. Sonuçları yeni tabloya benzeyen tablolar üzerinde ifadeler oluşturmak için kullanın let . |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
Genel | Çeşitli işlemler ve işlev | |
Çağırmak | İşlevi giriş olarak aldığı tabloda çalıştırır. | T | invoke function([param1, param2]) |
evaluate pluginName | Sorgu dili uzantılarını (eklentiler) değerlendirir | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
Görselleştirme | Verileri grafik biçiminde görüntüleyen işlemler | |
Render | Sonuçları grafik çıktı olarak işler | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |
İlgili içerik
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin