KQL-snelzoekgids
In dit artikel vindt u een lijst met functies en de bijbehorende beschrijvingen om u op weg te helpen met kusto-querytaal.
| Operator/functie | Beschrijving | Syntax |
|---|---|---|
| Filteren/zoeken/voorwaarde | Relevante gegevens zoeken door te filteren of te zoeken | |
| waar | Filters op een specifiek predicaat | T | where Predicate |
| where contains/has | Contains: Zoekt naar een overeenkomende subtekenreeksHas: Zoekt naar een specifiek woord (betere prestaties) |
T | where col1 contains/has "[search term]" |
| Zoek | Doorzoekt alle kolommen in de tabel voor de waarde | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| Nemen | Retourneert het opgegeven aantal records. Gebruiken om een query te testen Opmerking: _ en _ zijn synoniemen. |
T | take NumberOfRows |
| Geval | Voegt een voorwaarde-instructie toe, vergelijkbaar met if/then/elseif in andere systemen. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| distinct | Produceert een tabel met de unieke combinatie van de opgegeven kolommen van de invoertabel | distinct [ColumnName], [ColumnName] |
| Datum/tijd | Bewerkingen die gebruikmaken van datum- en tijdfuncties | |
| Geleden | Retourneert de tijdsver offset ten opzichte van de tijd dat de query wordt uitgevoerd. Is bijvoorbeeld ago(1h) één uur vóór de huidige klok lezen. |
ago(a_timespan) |
| format_datetime | Retourneert gegevens in verschillende datumnotaties. | format_datetime(datetime , format) |
| Bin | Rondt alle waarden af binnen een tijdsbestek en groepeert deze | bin(value,roundTo) |
| Kolommen maken/verwijderen | Kolommen in een tabel toevoegen of verwijderen | |
| Afdrukken | Uitvoer van één rij met een of meer scalaire expressies | print [ColumnName =] ScalarExpression [',' ...] |
| Project | Selecteert de kolommen die moeten worden opgeslagen in de opgegeven volgorde | T | project ColumnName [= Expression] [, ...] of T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| project-away | Selecteert de kolommen die moeten worden uitgesloten van de uitvoer | T | project-away ColumnNameOrPattern [, ...] |
| project-keep | Selecteert de kolommen die u in de uitvoer wilt behouden | T | project-keep ColumnNameOrPattern [, ...] |
| project-rename | Naam van kolommen in de resultaatuitvoer wijzigen | T | project-rename new_column_name = column_name |
| project-reorder | Kolommen in de resultaatuitvoer opnieuw rangschikken | T | project-reorder Col2, Col1, Col* asc |
| Uitbreiden | Hiermee maakt u een berekende kolom en voegt u deze toe aan de resultatenset | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| Gegevensset sorteren en aggregeren | Herstructureer de gegevens door ze op zinvolle manieren te sorteren of te groeperen | |
| Sorteren | Sorteert de rijen van de invoertabel op een of meer kolommen in oplopende of aflopende volgorde | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| top | Retourneert de eerste N rijen van de gegevensset wanneer de gegevensset wordt gesorteerd met by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| Samenvatten | Groepeert de rijen op basis van by de groepskolommen en berekent aggregaties voor elke groep |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| Tellen | Telt records in de invoertabel (bijvoorbeeld T) Deze operator is steno voor summarize count() |
T | count |
| Join | Voegt de rijen van twee tabellen samen om een nieuwe tabel te vormen door waarden van de opgegeven kolom(en) uit elke tabel te matchen. Ondersteunt een volledig scala aan jointypen: flouter , , , , , , , , inner , inneruniqueleftantileftantisemileftouterleftsemirightantirightantisemirightouter , rightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| Unie | Neemt twee of meer tabellen en retourneert alle rijen | [T1] | union [T2], [T3], … |
| Bereik | Genereert een tabel met een rekenkundige reeks waarden | range columnName from start to stop step step |
| Gegevens opmaken | De gegevens op een nuttige manier herstructureren voor uitvoer | |
| Lookup | Breidt de kolommen van een feitentabel uit met waarden die in een dimensietabel zijn op gezocht | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | Zet dynamische matrices om in rijen (uitbreiding met meerdere waarden) | T | mv-expand Column |
| parse | Evalueert een tekenreeksexpressie en parseert de waarde ervan in een of meer berekende kolommen. Gebruik voor het structureren van ongestructureerde gegevens. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| make-series | Hiermee maakt u een reeks opgegeven geaggregeerde waarden op een opgegeven as | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| Laat | Bindt een naam aan expressies die naar de gebonden waarde kunnen verwijzen. Waarden kunnen lambda-expressies zijn om ad-hocfuncties te maken als onderdeel van de query. Gebruik let om expressies te maken voor tabellen waarvan de resultaten eruit zien als een nieuwe tabel. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| Algemeen | Diverse bewerkingen en functies | |
| aanroepen | Voert de functie uit op de tabel die als invoer wordt ontvangen. | T | invoke function([param1, param2]) |
| evaluate pluginName | Evalueert querytaalextensies (invoegvoegingen) | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| Visualisatie | Bewerkingen die de gegevens weergeven in een grafische indeling | |
| Render | Geeft resultaten weer als grafische uitvoer | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |