Referencia rápida de KQLKQL quick reference

En este artículo se muestra una lista de funciones y sus descripciones para ayudarle a comenzar a usar Kusto Query Language.This article shows you a list of functions and their descriptions to help get you started using Kusto Query Language.

Operador o funciónOperator/Function DescripciónDescription SintaxisSyntax
Filtro, búsqueda o condiciónFilter/Search/Condition Búsqueda de datos pertinentes mediante filtrado o búsquedaFind relevant data by filtering or searching
wherewhere Filtra por un predicado específico.Filters on a specific predicate T | where Predicate
where contains/haswhere contains/has Contains: busca cualquier coincidencia de subcadena.Contains: Looks for any substring match
Has: busca una palabra específica (mejor rendimiento).Has: Looks for a specific word (better performance)
T | where col1 contains/has "[search term]"
searchsearch busca el valor en todas las columnas de la tabla.Searches all columns in the table for the value [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate
taketake devuelve el número de registros especificado.Returns the specified number of records. Úselo para probar una consulta.Use to test a query
Nota : _take_ y _limit_ son sinónimos.Note: _take_ and _limit_ are synonyms.
T | take NumberOfRows
casecase Agrega una instrucción de condición, similar a if/then/elseif en otros sistemas.Adds a condition statement, similar to if/then/elseif in other systems. case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else)
distinctdistinct Genera una tabla con la combinación distinta de las columnas proporcionadas de la tabla de entrada.Produces a table with the distinct combination of the provided columns of the input table distinct [ColumnName], [ColumnName]
Date/TimeDate/Time Operaciones que usan funciones de fecha y horaOperations that use date and time functions
agoago Devuelve el desfase horario en relación con la hora a la que se ejecuta la consulta.Returns the time offset relative to the time the query executes. Por ejemplo, ago(1h) es una hora antes de la lectura del reloj actual.For example, ago(1h) is one hour before the current clock's reading. ago(a_timespan)
format_datetimeformat_datetime Devuelve datos en varios formatos de fecha.Returns data in various date formats. format_datetime(datetime , format)
binbin Redondea todos los valores de un período de tiempo y los agrupa.Rounds all values in a timeframe and groups them bin(value,roundTo)
Creación o eliminación de columnasCreate/Remove Columns Adición o eliminación de columnas de una tablaAdd or remove columns in a table
printprint Genera una sola fila con una o más expresiones escalares.Outputs a single row with one or more scalar expressions print [ColumnName =] ScalarExpression [',' ...]
projectproject Selecciona las columnas que se van a incluir en el orden especificado.Selects the columns to include in the order specified T | project ColumnName [= Expression] [, ...]
OrOr
T | project [ColumnName | (ColumnName[,]) =] Expression [, ...]
project-awayproject-away Selecciona las columnas que se van a excluir de la salida.Selects the columns to exclude from the output T | project-away ColumnNameOrPattern [, ...]
project-keepproject-keep Selecciona las columnas que se van a mantener en la salida.Selects the columns to keep in the output T | project-keep ColumnNameOrPattern [, ...]
project-renameproject-rename Cambia el nombre de las columnas en la salida de resultados.Renames columns in the result output T | project-rename new_column_name = column_name
project-reorderproject-reorder Cambia el orden de las columnas en la salida de resultados.Reorders columns in the result output T | project-reorder Col2, Col1, Col* asc
extendextend Crea una columna calculada y la agrega al conjunto de resultados.Creates a calculated column and adds it to the result set T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...]
Ordenación y agregación del conjunto de datosSort and Aggregate Dataset Reestructuración de los datos mediante su ordenación y agrupación de formas significativasRestructure the data by sorting or grouping them in meaningful ways
sortsort Ordena las filas de la tabla de entrada por una o varias columnas en orden ascendente o descendente.Sorts the rows of the input table by one or more columns in ascending or descending order T | sort by expression1 [asc|desc], expression2 [asc|desc], …
toptop Devuelve las n primeras filas del conjunto de datos cuando este se ordena mediante byReturns the first N rows of the dataset when the dataset is sorted using by T | top numberOfRows by expression [asc|desc] [nulls first|last]
summarizesummarize Agrupa las filas según las columnas de grupo by y calcula las agregaciones en cada grupo.Groups the rows according to the by group columns, and calculates aggregations over each group T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]]
countcount Cuenta los registros de la tabla de entrada (por ejemplo, T).Counts records in the input table (for example, T)
Este operador es una abreviatura de summarize count() .This operator is shorthand for summarize count()
T | count
joinjoin Combina las filas de dos tablas para formar una nueva tabla haciendo coincidir los valores de las columnas especificadas de cada tabla.Merges the rows of two tables to form a new table by matching values of the specified column(s) from each table. Admite una gama completa de tipos de combinación: flouter, inner, innerunique, leftanti, leftantisemi, leftouter, leftsemi, rightanti, rightantisemi, rightouter, rightsemiSupports a full range of join types: flouter, inner, innerunique, leftanti, leftantisemi, leftouter, leftsemi, rightanti, rightantisemi, rightouter, rightsemi LeftTable | join [JoinParameters] ( RightTable ) on Attributes
unionunion Toma dos o más tablas y devuelve todas sus filas.Takes two or more tables and returns all their rows [T1] | union [T2], [T3], …
rangerange Genera una tabla con una serie aritmética de valores.Generates a table with an arithmetic series of values range columnName from start to stop step step
Aplicación de formato a los datosFormat Data Reestructuración de los datos para que se generen de forma útilRestructure the data to output in a useful way
lookuplookup Extiende las columnas de una tabla de hechos con valores buscados en una tabla de dimensiones.Extends the columns of a fact table with values looked-up in a dimension table T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes
mv-expandmv-expand Convierte las matrices dinámicas en filas (expansión de varios valores).Turns dynamic arrays into rows (multi-value expansion) T | mv-expand Column
parseparse evalúa una expresión de cadena y analiza su valor en una o más columnas calculadas.Evaluates a string expression and parses its value into one or more calculated columns. Úselo para estructurar datos no estructurados.Use for structuring unstructured data. T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *...
make-seriesmake-series Crea una serie de valores agregados especificados a lo largo de un eje definido.Creates series of specified aggregated values along a specified axis T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]]
letlet Enlaza un nombre a expresiones que pueden hacer referencia a su valor enlazado.Binds a name to expressions that can refer to its bound value. Los valores pueden ser expresiones lambda para crear funciones ad-hoc como parte de la consulta.Values can be lambda expressions to create ad-hoc functions as part of the query. Use let para crear expresiones sobre tablas cuyos resultados se parezcan a una nueva tabla.Use let to create expressions over tables whose results look like a new table. let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression
GeneralGeneral Operaciones y funciones mixtasMiscellaneous operations and function
invokeinvoke Ejecuta la función en la tabla que recibe como entrada.Runs the function on the table that it receives as input. T | invoke function([param1, param2])
evaluate pluginNameevaluate pluginName Evalúa las extensiones del lenguaje de consulta (complementos).Evaluates query language extensions (plugins) [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... )
VisualizaciónVisualization Operaciones que muestran los datos en formato gráficoOperations that display the data in a graphical format
renderrender Representa los resultados como una salida gráfica.Renders results as a graphical output T | render Visualization [with (PropertyName = PropertyValue [, ...] )]