Referência rápida de KQL
Este artigo mostra-lhe uma lista de funções e as respetivas descrições para o ajudar a começar a utilizar Linguagem de Pesquisa Kusto.
| Operador/Função | Description | Syntax |
|---|---|---|
| Filtro/Pesquisa/Condição | Localizar dados relevantes ao filtrar ou procurar | |
| em que | Filtros num predicado específico | T | where Predicate |
| em que contém/tem | Contains: procura qualquer correspondência de subcadeiaHas: procura uma palavra específica (melhor desempenho) |
T | where col1 contains/has "[search term]" |
| search | Procura o valor em todas as colunas na tabela | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| take | Devolve o número especificado de registos. Utilizar para testar uma consulta Nota: take e limit são sinónimos. |
T | take NumberOfRows |
| caso | Adiciona uma instrução de condição, semelhante a if/then/elseif noutros sistemas. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| distinct | Produz uma tabela com a combinação distinta das colunas fornecidas da tabela de entrada | distinct [ColumnName], [ColumnName] |
| Data/Hora | Operações que utilizam funções de data e hora | |
| há | Devolve o desvio de tempo relativo à hora em que a consulta é executada. Por exemplo, ago(1h) é uma hora antes da leitura do relógio atual. |
ago(a_timespan) |
| format_datetime | Devolve dados em vários formatos de data. | format_datetime(datetime , format) |
| discretizações | Arredonda todos os valores num período de tempo e agrupa-os | bin(value,roundTo) |
| Criar/Remover Colunas | Adicionar ou remover colunas numa tabela | |
| imprimir | Produz uma única linha com uma ou mais expressões escalares | print [ColumnName =] ScalarExpression [',' ...] |
| projeto | Seleciona as colunas a incluir na ordem especificada | T | project ColumnName [= Expression] [, ...] Ou T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| project-away | Seleciona as colunas a excluir da saída | T | project-away ColumnNameOrPattern [, ...] |
| project-keep | Seleciona as colunas a manter na saída | T | project-keep ColumnNameOrPattern [, ...] |
| nome do projeto | Muda o nome das colunas na saída do resultado | T | project-rename new_column_name = column_name |
| reordenar projeto | Reordena colunas na saída do resultado | T | project-reorder Col2, Col1, Col* asc |
| expandir | Cria uma coluna calculada e adiciona-a ao conjunto de resultados | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| Ordenar e Agregar Conjunto de Dados | Reestruturar os dados ao ordená-los ou agrupá-los de formas significativas | |
| operador sort | Ordenar as linhas da tabela de entrada por uma ou mais colunas por ordem ascendente ou descendente | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| top | Devolve as primeiras N linhas do conjunto de dados quando o conjunto de dados é ordenado com by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| resumir | Agrupa as linhas de acordo com as colunas do by grupo e calcula as agregações em cada grupo |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| contagem | Conta registos na tabela de entrada (por exemplo, T) Este operador é abreviado para summarize count() |
T | count |
| associar | Intercala as linhas de duas tabelas para formar uma nova tabela ao corresponder os valores das colunas especificadas de cada tabela. Suporta uma gama completa de tipos de associação: fullouter, , innerinnerunique, leftanti, leftantisemi, leftouter, leftsemi, rightanti, rightantisemi, , rightouterrightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| união | Utiliza duas ou mais tabelas e devolve todas as linhas | [T1] | union [T2], [T3], … |
| intervalo | Gera uma tabela com uma série aritmética de valores | range columnName from start to stop step step |
| Formatar Dados | Reestruturar os dados para saída de uma forma útil | |
| pesquisa | Expande as colunas de uma tabela de factos com valores pesquisados numa tabela de dimensões | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | Transforma matrizes dinâmicas em linhas (expansão de múltiplos valores) | T | mv-expand Column |
| parse | Avalia uma expressão de cadeia e analisa o respetivo valor numa ou mais colunas calculadas. Utilize para estruturar dados não estruturados. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| make-series | Cria uma série de valores agregados especificados ao longo de um eixo especificado | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| let | Vincula um nome a expressões que podem fazer referência ao respetivo valor vinculado. Os valores podem ser expressões lambda para criar funções definidas pela consulta como parte da consulta. Utilize let para criar expressões sobre tabelas cujos resultados parecem uma nova tabela. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| Geral | Operações e funções diversas | |
| invocar | Executa a função na tabela que recebe como entrada. | T | invoke function([param1, param2]) |
| avaliar pluginName | Avalia extensões de linguagem de consulta (plug-ins) | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| Visualização | Operações que apresentam os dados num formato gráfico | |
| composição | Compõe os resultados como uma saída gráfica | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |
Conteúdo relacionado
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários