KQL 빠른 참조KQL quick reference

이 문서에서는 Kusto 쿼리 언어를 사용하는 데 도움이 되는 함수 목록 및 해당 설명을 보여 줍니다.This article shows you a list of functions and their descriptions to help get you started using Kusto Query Language.

연산자/함수Operator/Function 설명Description SyntaxSyntax
필터링/검색/조건Filter/Search/Condition 필터링 또는 검색을 통해 관련 데이터 찾기Find relevant data by filtering or searching
wherewhere 특정 조건자를 필터링합니다.Filters on a specific predicate T | where Predicate
where contains/haswhere contains/has Contains: 부분 문자열 일치 항목을 찾습니다.Contains: Looks for any substring match
Has: 특정 단어를 찾습니다(성능 향상).Has: Looks for a specific word (better performance)
T | where col1 contains/has "[search term]"
searchsearch 테이블의 모든 열에서 값을 검색합니다.Searches all columns in the table for the value [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate
taketake 지정된 레코드 수를 반환합니다.Returns the specified number of records. 쿼리를 테스트하는 데 사용합니다.Use to test a query
참고: _take_ 및 _limit는 동의어입니다.Note: _take and _limit_ are synonyms.
T | take NumberOfRows
casecase 다른 시스템의 if/then/elseif와 비슷한 조건 문을 추가합니다.Adds a condition statement, similar to if/then/elseif in other systems. case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else)
distinctdistinct 입력 테이블의 제공된 열의 고유한 조합으로 테이블을 생성합니다.Produces a table with the distinct combination of the provided columns of the input table distinct [ColumnName], [ColumnName]
날짜/시간Date/Time 날짜 및 시간 함수를 사용하는 작업Operations that use date and time functions
agoago 쿼리가 실행되는 시간을 기준으로 하는 상대적인 시간 오프셋을 반환합니다.Returns the time offset relative to the time the query executes. 예를 들어 ago(1h)는 현재 시계의 판독 값 이전의 1시간입니다.For example, ago(1h) is one hour before the current clock's reading. ago(a_timespan)
format_datetimeformat_datetime 다양한 날짜 형식의 데이터를 반환합니다.Returns data in various date formats. format_datetime(datetime , format)
binbin 시간 범위의 모든 값을 반올림하고 그룹화합니다.Rounds all values in a timeframe and groups them bin(value,roundTo)
열 만들기/제거Create/Remove Columns 테이블에서 열 추가 또는 제거Add or remove columns in a table
printprint 하나 이상의 스칼라 식이 포함된 단일 행을 출력합니다.Outputs a single row with one or more scalar expressions print [ColumnName =] ScalarExpression [',' ...]
projectproject 지정된 순서대로 포함할 열을 선택합니다.Selects the columns to include in the order specified T | project ColumnName [= Expression] [, ...]
또는Or
T | project [ColumnName | (ColumnName[,]) =] Expression [, ...]
project-awayproject-away 출력에서 제외할 열을 선택합니다.Selects the columns to exclude from the output T | project-away ColumnNameOrPattern [, ...]
project-keepproject-keep 출력에서 유지할 열을 선택합니다.Selects the columns to keep in the output T | project-keep ColumnNameOrPattern [, ...]
project-renameproject-rename 결과 출력에서 열 이름을 바꿉니다.Renames columns in the result output T | project-rename new_column_name = column_name
project-reorderproject-reorder 결과 출력에서 열 순서를 다시 정렬합니다.Reorders columns in the result output T | project-reorder Col2, Col1, Col* asc
extendextend 계산 열을 만들어 결과 집합에 추가합니다.Creates a calculated column and adds it to the result set T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...]
데이터 세트 정렬 및 집계Sort and Aggregate Dataset 데이터를 의미 있는 방식으로 정렬하거나 그룹화하여 데이터 재구성Restructure the data by sorting or grouping them in meaningful ways
sortsort 하나 이상의 열을 기준으로 입력 테이블 행을 오름차순 또는 내림차순으로 정렬합니다.Sorts the rows of the input table by one or more columns in ascending or descending order T | sort by expression1 [asc|desc], expression2 [asc|desc], …
toptop by를 사용하여 데이터 세트를 정렬할 때 데이터 세트의 처음 N개 행을 반환합니다.Returns the first N rows of the dataset when the dataset is sorted using by T | top numberOfRows by expression [asc|desc] [nulls first|last]
summarizesummarize by 그룹 열에 따라 행을 그룹화하고, 각 그룹에 대한 집계를 계산합니다.Groups the rows according to the by group columns, and calculates aggregations over each group T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]]
countcount 입력 테이블의 레코드 수를 계산합니다(예: T).Counts records in the input table (for example, T)
이 연산자는 summarize count() 의 축약형입니다.This operator is shorthand for summarize count()
T | count
joinjoin 두 테이블의 행을 병합하여 각 테이블에서 지정된 열의 값을 일치시키는 방식으로 새 테이블을 만듭니다.Merges the rows of two tables to form a new table by matching values of the specified column(s) from each table. 지원되는 모든 join 형식은 flouter, inner, innerunique, leftanti, leftantisemi, leftouter, leftsemi, rightanti, rightantisemi, rightouter, rightsemi입니다.Supports a full range of join types: flouter, inner, innerunique, leftanti, leftantisemi, leftouter, leftsemi, rightanti, rightantisemi, rightouter, rightsemi LeftTable | join [JoinParameters] ( RightTable ) on Attributes
unionunion 둘 이상의 테이블을 사용하고 해당 행을 모두 반환합니다.Takes two or more tables and returns all their rows [T1] | union [T2], [T3], …
rangerange 산술 계열의 값이 포함된 테이블을 생성합니다.Generates a table with an arithmetic series of values range columnName from start to stop step step
데이터 서식 지정Format Data 데이터를 유용한 방식으로 출력하도록 재구성Restructure the data to output in a useful way
lookuplookup 차원 테이블에서 조회된 값을 사용하여 팩트 테이블의 열을 확장합니다.Extends the columns of a fact table with values looked-up in a dimension table T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes
mv-expandmv-expand 동적 배열을 행(다중 값 확장)으로 변환합니다.Turns dynamic arrays into rows (multi-value expansion) T | mv-expand Column
parseparse 문자열 식을 평가하고 해당 값을 계산 열 하나 이상으로 구문 분석합니다.Evaluates a string expression and parses its value into one or more calculated columns. 비정형 데이터를 구조화하는 데 사용합니다.Use for structuring unstructured data. T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *...
make-seriesmake-series 지정된 축을 따라 지정된 집계 값 계열을 만듭니다.Creates series of specified aggregated values along a specified axis T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]]
letlet 바인딩된 값을 참조할 수 있는 식에 이름을 바인딩합니다.Binds a name to expressions that can refer to its bound value. 값은 쿼리의 일부로 임시 함수를 만드는 람다 식일 수 있습니다.Values can be lambda expressions to create ad-hoc functions as part of the query. let을 사용하여 결과가 새 테이블처럼 표시되는 테이블에 대한 식을 만듭니다.Use let to create expressions over tables whose results look like a new table. let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression
일반General 기타 작업 및 함수Miscellaneous operations and function
invokeinvoke 입력으로 받는 테이블에서 함수를 실행합니다.Runs the function on the table that it receives as input. T | invoke function([param1, param2])
evaluate pluginNameevaluate pluginName 쿼리 언어 확장(플러그 인)을 평가합니다.Evaluates query language extensions (plugins) [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... )
시각화Visualization 데이터를 그래픽 형식으로 표시하는 작업Operations that display the data in a graphical format
renderrender 결과를 그래픽 출력으로 렌더링합니다.Renders results as a graphical output T | render Visualization [with (PropertyName = PropertyValue [, ...] )]