Snabbreferens för KQL
Den här artikeln visar en lista över funktioner och deras beskrivningar som hjälper dig att komma igång med Kusto Query Language.
| Operator/funktion | Beskrivning | Syntax |
|---|---|---|
| Filtrera/söka/villkor | Hitta relevanta data genom att filtrera eller söka | |
| Där | Filter på ett specifikt predikat | T | where Predicate |
| where contains/has | Contains: Söker efter eventuella delsträngsmatchningarHas: Söker efter ett visst ord (bättre prestanda) |
T | where col1 contains/has "[search term]" |
| Sök | Söker igenom alla kolumner i tabellen efter värdet | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| Ta | Returnerar det angivna antalet poster. Använd för att testa en fråga Obs! _ och _ är synonymer. |
T | take NumberOfRows |
| Fall | Lägger till en villkorssats som liknar if/then/elseif i andra system. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| Distinkta | Skapar en tabell med en distinkt kombination av de angivna kolumnerna i indatatabellen | distinct [ColumnName], [ColumnName] |
| Datum/tid | Åtgärder som använder datum- och tidsfunktioner | |
| Sedan | Returnerar tidsförskjutningen i förhållande till den tid som frågan körs. Till exempel ago(1h) är en timme före den aktuella klockans läsning. |
ago(a_timespan) |
| format_datetime | Returnerar data i olika datumformat. | format_datetime(datetime , format) |
| Bin | Avrundar alla värden i en tidsram och grupperar dem | bin(value,roundTo) |
| Skapa/ta bort kolumner | Lägga till eller ta bort kolumner i en tabell | |
| Skriva ut | Matar ut en enskild rad med ett eller flera skalära uttryck | print [ColumnName =] ScalarExpression [',' ...] |
| Projekt | Väljer de kolumner som ska inkluderas i den angivna ordningen | T | project ColumnName [= Expression] [, ...] Eller T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| project-away | Väljer de kolumner som ska undantas från utdata | T | project-away ColumnNameOrPattern [, ...] |
| project-keep | Väljer de kolumner som ska behållas i utdata | T | project-keep ColumnNameOrPattern [, ...] |
| project-rename | Byter namn på kolumner i resultatutdata | T | project-rename new_column_name = column_name |
| project-reorder | Sorterar om kolumner i resultatutdata | T | project-reorder Col2, Col1, Col* asc |
| Utöka | Skapar en beräknad kolumn och lägger till den i resultatuppsättningen | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| Sortera och aggregera datauppsättning | Strukturera om data genom att sortera eller gruppera dem på meningsfulla sätt | |
| Sortera | Sorterar raderna i indatatabellen efter en eller flera kolumner i stigande eller fallande ordning | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| Topp | Returnerar de första N raderna i datauppsättningen när datauppsättningen sorteras med by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| Sammanfatta | Grupperar raderna enligt by gruppkolumnerna och beräknar sammansättningar för varje grupp |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| Räkna | Räknar poster i indatatabellen (till exempel T) Den här operatorn är förkortning för summarize count() |
T | count |
| Ansluta sig till | Sammanfogar raderna i två tabeller för att bilda en ny tabell genom att matcha värden för de angivna kolumnerna från varje tabell. Stöder ett fullständigt utbud av kopplingstyper: flouter , , , , , , , , inner , inneruniqueleftantileftantisemileftouterleftsemirightantirightantisemirightouter , rightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| Unionen | Tar två eller flera tabeller och returnerar alla deras rader | [T1] | union [T2], [T3], … |
| Utbud | Genererar en tabell med en aritmetiska serie värden | range columnName from start to stop step step |
| Formatera data | Strukturera om data som ska matas ut på ett användbart sätt | |
| Sökning | Utökar kolumnerna i en faktatabell med värden som har sökts upp i en dimensionstabell | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | Omvandlar dynamiska matriser till rader (flervärdesexpansion) | T | mv-expand Column |
| parse | Utvärderar ett stränguttryck och parsar dess värde till en eller flera beräknade kolumner. Används för att strukturera ostrukturerade data. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| make-series | Skapar en serie med angivna aggregerade värden längs en angiven axel | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| Låt | Binder ett namn till uttryck som kan referera till dess bundna värde. Värden kan vara lambda-uttryck för att skapa ad hoc-funktioner som en del av frågan. Använd let för att skapa uttryck över tabeller vars resultat ser ut som en ny tabell. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| Allmänt | Diverse åtgärder och funktioner | |
| Åberopa | Kör funktionen på tabellen som den tar emot som indata. | T | invoke function([param1, param2]) |
| utvärdera pluginName | Utvärderar frågespråkstillägg (plugin-program) | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| Visualisering | Åtgärder som visar data i ett grafiskt format | |
| Göra | Renderar resultat som grafiska utdata | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |