使用 extend 运算符
扩展运算符将创建计算列,并将新列追加到结果集。
下面的 KQL 示例使用 extend 运算符创建一个新列,名为 StartDir,其中包含进程启动时所在的目录。 StartDir 列是包含子字符串函数结果的计算列。
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))