使用 project 运算符
project 运算符控制要在语句的结果集中加入、添加、删除或重命名的列。
project 运算符有多种类型。 下表列出了各种类型。
| 运算符 | 描述 |
|---|---|
| project | 选择要包含、重命名或删除的列,并插入新的计算列。 |
| project-away | 从输入中选择要从输出中排除的列。 |
| project-keep | 从输入中选择要保留在输出中的列。 |
| project-rename | 选择要在结果输出中重命名的列。 |
| project-reorder | 设置输出结果中的列顺序。 |
Project 运算符
选择要包含、重命名或删除的列,并插入新的计算列。
提示
project 运算符将限制结果集的大小,从而提高性能
分别运行每个查询以查看结果。
SecurityEvent
| project Computer, Account
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project Process, StartDir
Project-away 运算符
从输入中选择要从输出中排除的列。
此示例基于先前的 extend 和 order by 运算符。 移除 project 将从结果集中删除不必要的列。 在此示例中,我们将删除 ProcessName 列。
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project-away ProcessName