Riferimento rapido sul linguaggio KQLKQL quick reference

Questo articolo contiene un elenco di funzioni e le relative descrizioni, utili per acquisire familiarità con il linguaggio di query Kusto (KQL).This article shows you a list of functions and their descriptions to help get you started using Kusto Query Language.

Operatore/FunzioneOperator/Function DescrizioneDescription SintassiSyntax
Filtro/Ricerca/CondizioneFilter/Search/Condition Trovare dati rilevanti tramite filtro o ricercaFind relevant data by filtering or searching
wherewhere Applica un filtro in base a un predicato specificoFilters on a specific predicate T | where Predicate
where contains/haswhere contains/has Contains: cerca eventuali corrispondenze di sottostringheContains: Looks for any substring match
Has: cerca una parola specifica (prestazioni migliori)Has: Looks for a specific word (better performance)
T | where col1 contains/has "[search term]"
searchsearch Cerca il valore in tutte le colonne della tabellaSearches all columns in the table for the value [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate
taketake Restituisce il numero di record specificato.Returns the specified number of records. Usare per testare una queryUse to test a query
Nota: _take_ e _limit_ sono sinonimi.Note: _take_ and _limit_ are synonyms.
T | take NumberOfRows
casecase Aggiunge un'istruzione di condizione, simile a if/then/elseif in altri sistemi.Adds a condition statement, similar to if/then/elseif in other systems. case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else)
distinctdistinct Produce una tabella con la combinazione distinta delle colonne specificate della tabella di inputProduces a table with the distinct combination of the provided columns of the input table distinct [ColumnName], [ColumnName]
Data/OraDate/Time Operazioni che usano funzioni di data e oraOperations that use date and time functions
agoago Restituisce la differenza di orario rispetto all'ora di esecuzione della query.Returns the time offset relative to the time the query executes. Ad esempio, ago(1h) indica un'ora prima dell'ora dell'orologio corrente.For example, ago(1h) is one hour before the current clock's reading. ago(a_timespan)
format_datetimeformat_datetime Restituisce i dati in vari formati di data.Returns data in various date formats. format_datetime(datetime , format)
binbin Arrotonda tutti i valori in un intervallo di tempo e li raggruppaRounds all values in a timeframe and groups them bin(value,roundTo)
Creazione/Rimozione di colonneCreate/Remove Columns Aggiungere o rimuovere colonne in una tabellaAdd or remove columns in a table
printprint Restituisce una singola riga con una o più espressioni scalariOutputs a single row with one or more scalar expressions print [ColumnName =] ScalarExpression [',' ...]
projectproject Seleziona le colonne da includere nell'ordine specificatoSelects the columns to include in the order specified T | project ColumnName [= Expression] [, ...]
OppureOr
T | project [ColumnName | (ColumnName[,]) =] Expression [, ...]
project-awayproject-away Seleziona le colonne da escludere dall'outputSelects the columns to exclude from the output T | project-away ColumnNameOrPattern [, ...]
project-keepproject-keep Seleziona le colonne da mantenere nell'outputSelects the columns to keep in the output T | project-keep ColumnNameOrPattern [, ...]
project-renameproject-rename Rinomina le colonne nell'output del risultatoRenames columns in the result output T | project-rename new_column_name = column_name
project-reorderproject-reorder Riordina le colonne nell'output del risultatoReorders columns in the result output T | project-reorder Col2, Col1, Col* asc
extendextend Crea una colonna calcolata e la aggiunge al set di risultatiCreates a calculated column and adds it to the result set T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...]
Ordinamento e aggregazione dei set di datiSort and Aggregate Dataset Ristrutturare i dati ordinandoli o raggruppandoli in modi significativiRestructure the data by sorting or grouping them in meaningful ways
sortsort Ordina le righe della tabella di input per una o più colonne in ordine crescente o decrescenteSorts the rows of the input table by one or more columns in ascending or descending order T | sort by expression1 [asc|desc], expression2 [asc|desc], …
toptop Restituisce le prime N righe del set di dati quando il set di dati è ordinato tramite byReturns the first N rows of the dataset when the dataset is sorted using by T | top numberOfRows by expression [asc|desc] [nulls first|last]
summarizesummarize Raggruppa le righe in base alle colonne del gruppo by e calcola le aggregazioni su ogni gruppoGroups the rows according to the by group columns, and calculates aggregations over each group T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]]
countcount Conta i record nella tabella di input (ad esempio, T)Counts records in the input table (for example, T)
Questo operatore è una forma abbreviata di summarize count() This operator is shorthand for summarize count()
T | count
joinjoin Unisce le righe di due tabelle in modo da formare una nuova tabella, facendo corrispondere i valori delle colonne specificate da ogni tabella.Merges the rows of two tables to form a new table by matching values of the specified column(s) from each table. Supporta la gamma completa di tipi di join: flouter, inner, innerunique, leftanti, leftantisemi, leftouter, leftsemi, rightanti, rightantisemi, rightouter, rightsemiSupports a full range of join types: flouter, inner, innerunique, leftanti, leftantisemi, leftouter, leftsemi, rightanti, rightantisemi, rightouter, rightsemi LeftTable | join [JoinParameters] ( RightTable ) on Attributes
unionunion Restituisce tutte le righe di due o più tabelleTakes two or more tables and returns all their rows [T1] | union [T2], [T3], …
rangerange Genera una tabella con una serie aritmetica di valoriGenerates a table with an arithmetic series of values range columnName from start to stop step step
Formattazione dei datiFormat Data Ristrutturare i dati da restituire in modo utileRestructure the data to output in a useful way
lookuplookup Estende le colonne di una tabella dei fatti con i valori cercati in una tabella delle dimensioniExtends the columns of a fact table with values looked-up in a dimension table T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes
mv-expandmv-expand Converte le matrici dinamiche in righe (espansione multivalore)Turns dynamic arrays into rows (multi-value expansion) T | mv-expand Column
parseparse valuta un'espressione stringa e analizza il relativo valore in una o più colonne calcolate.Evaluates a string expression and parses its value into one or more calculated columns. Usare per la strutturazione di dati non strutturati.Use for structuring unstructured data. T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *...
make-seriesmake-series Crea una serie di valori aggregati specificati lungo un asse specificatoCreates series of specified aggregated values along a specified axis T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]]
letlet Associa un nome a espressioni che possono fare riferimento al relativo valore associato.Binds a name to expressions that can refer to its bound value. I valori possono essere espressioni lambda per creare funzioni ad hoc come parte della query.Values can be lambda expressions to create ad-hoc functions as part of the query. Usare let per creare espressioni su tabelle i cui risultati sono simili a una nuova tabella.Use let to create expressions over tables whose results look like a new table. let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression
GeneraleeGeneral Operazioni varie e funzioneMiscellaneous operations and function
invokeinvoke Esegue la funzione sulla tabella che riceve come input.Runs the function on the table that it receives as input. T | invoke function([param1, param2])
evaluate pluginNameevaluate pluginName Valuta le estensioni del linguaggio di query (plug-in)Evaluates query language extensions (plugins) [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... )
VisualizzazioneVisualization Operazioni che visualizzano i dati in formato graficoOperations that display the data in a graphical format
renderrender Esegue il rendering dei risultati come output graficoRenders results as a graphical output T | render Visualization [with (PropertyName = PropertyValue [, ...] )]