Stručná referenční příručka ke KQL
Tento článek ukazuje seznam funkcí a jejich popisů, které vám pomůžou začít používat dotazovací jazyk Kusto.
| Operátor/funkce | Popis | Syntax |
|---|---|---|
| Filtr, hledání nebo podmínka | Vyhledání relevantních dat filtrováním nebo vyhledáváním | |
| Kde | Filtry pro konkrétní predikát | T | where Predicate |
| where contains/has | Contains: Vyhledá shodu podřetězce.Has: Hledá konkrétní slovo (lepší výkon). |
T | where col1 contains/has "[search term]" |
| search | Vyhledá hodnotu ve všech sloupcích v tabulce. | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| take (přijmout) | Vrátí zadaný počet záznamů. Použití k otestování dotazu Poznámka: _ a _ jsou synonyma. |
T | take NumberOfRows |
| Případě | Přidá příkaz podmínky podobný příkazu if/then/elseif v jiných systémech. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| Odlišné | Vytvoří tabulku s odlišnou kombinací poskytnutých sloupců vstupní tabulky. | distinct [ColumnName], [ColumnName] |
| Datum a čas | Operace, které používají funkce data a času | |
| před | Vrátí časový posun vzhledem k času, kdy se dotaz provádí. Například je ago(1h) jedna hodina před čtením aktuálního času. |
ago(a_timespan) |
| format_datetime | Vrátí data v různých formátech data. | format_datetime(datetime , format) |
| Přihrádky | Zaokrouhlí všechny hodnoty v časovém rámci a seskupí je. | bin(value,roundTo) |
| Vytvoření nebo odebrání sloupců | Přidání nebo odebrání sloupců v tabulce | |
| Tisk | Výstup jednoho řádku s jedním nebo více skalárními výrazy | print [ColumnName =] ScalarExpression [',' ...] |
| Projektu | Vybere sloupce, které se mají zahrnout v zadaném pořadí. | T | project ColumnName [= Expression] [, ...] Nebo T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| project-away | Vybere sloupce, které se mají vyloučit z výstupu. | T | project-away ColumnNameOrPattern [, ...] |
| project-keep | Vybere sloupce, které se mají ve výstupu zachovat. | T | project-keep ColumnNameOrPattern [, ...] |
| project-rename | Přejmenuje sloupce ve výsledném výstupu. | T | project-rename new_column_name = column_name |
| změna pořadí projektu | Změna pořadí sloupců ve výsledném výstupu | T | project-reorder Col2, Col1, Col* asc |
| Rozšířit | Vytvoří počítaný sloupec a přidá ho do sady výsledků dotazu. | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| Řazení a agregace datové sady | Strukturování dat seřazením nebo seskupením smysluplným způsobem | |
| Řazení | Seřadí řádky vstupní tabulky podle jednoho nebo více sloupců ve vzestupném nebo sestupném pořadí. | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| Top | Vrátí prvních N řádků datové sady, pokud je datová sada seřazená pomocí . by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| Sumarizovat | Seskupí řádky podle sloupců skupiny a by vypočítá agregace pro každou skupinu. |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| Počet | Spočítá záznamy ve vstupní tabulce (například T). Tento operátor je zkratka pro summarize count() |
T | count |
| Připojit | Sloučí řádky dvou tabulek, aby se z každé tabulky sloučí nová tabulka. Podporuje celou řadu typů spojení: flouter , , , , , , , , , inner , inneruniqueleftantileftantisemileftouterleftsemirightantirightantisemirightouter . rightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| Unie | Vezme dvě nebo více tabulek a vrátí všechny jejich řádky. | [T1] | union [T2], [T3], … |
| Rozsah | Vygeneruje tabulku s aritmetickou řadou hodnot. | range columnName from start to stop step step |
| Formátování dat | Strukturování dat tak, aby výstup byl užitečný | |
| Vyhledávání | Rozšiřuje sloupce tabulky faktů o hodnoty, které jsou v tabulce dimenzí. | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | Změní dynamická pole na řádky (rozšíření s více hodnotami). | T | mv-expand Column |
| parse | Vyhodnotí řetězcový výraz a parsuje jeho hodnotu do jednoho nebo více počítaných sloupců. Slouží ke strukturování nestrukturovaných dat. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| řada make-series | Vytvoří řadu zadaných agregovaných hodnot na zadané ose. | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| Nechat | Vytvoří vazbu názvu na výrazy, které mohou odkazovat na jeho vázané hodnoty. Hodnoty mohou být výrazy lambda pro vytvoření funkcí ad hoc v rámci dotazu. Slouží let k vytváření výrazů u tabulek, jejichž výsledky vypadají jako nová tabulka. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| Obecné | Různé operace a funkce | |
| Vyvolat | Spustí funkci pro tabulku, kterou přijímá jako vstup. | T | invoke function([param1, param2]) |
| vyhodnocení názvu modulu plug-in | Vyhodnotí rozšíření dotazovacího jazyka (moduly plug-in). | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| Vizualizace | Operace, které zobrazují data v grafickém formátu | |
| Vykreslení | Vykreslí výsledky jako grafický výstup. | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |