Snabbreferens för KQL
Den här artikeln visar en lista över funktioner och deras beskrivningar som hjälper dig att komma igång med Kusto-frågespråk.
| Operator/funktion | Description | Syntax |
|---|---|---|
| Filtrera/söka/villkor | Hitta relevanta data genom att filtrera eller söka | |
| Där | Filter för ett specifikt predikat | T | where Predicate |
| där innehåller/har | Contains: Söker efter en delsträngsmatchningHas: Söker efter ett specifikt ord (bättre prestanda) |
T | where col1 contains/has "[search term]" |
| search | Söker i alla kolumner i tabellen efter värdet | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| Ta | Returnerar det angivna antalet poster. Använda för att testa en fråga Obs! take och limit är synonymer. |
T | take NumberOfRows |
| Fall | Lägger till ett villkorsuttryck som liknar if/then/elseif i andra system. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| Distinkta | Skapar en tabell med den distinkta kombinationen av de angivna kolumnerna i indatatabellen | distinct [ColumnName], [ColumnName] |
| Datum/tid | Åtgärder som använder datum- och tidsfunktioner | |
| Sedan | Returnerar tidsförskjutningen i förhållande till den tid då frågan körs. Till exempel ago(1h) är en timme före den aktuella klockans läsning. |
ago(a_timespan) |
| format_datetime | Returnerar data i olika datumformat. | format_datetime(datetime , format) |
| Bin | Avrundar alla värden inom en tidsram och grupperar dem | bin(value,roundTo) |
| Skapa/ta bort kolumner | Lägga till eller ta bort kolumner i en tabell | |
| Skriva ut | Matar ut en enskild rad med ett eller flera skaläruttryck | print [ColumnName =] ScalarExpression [',' ...] |
| Projekt | Markerar de kolumner som ska inkluderas i den angivna ordningen | T | project ColumnName [= Expression] [, ...] Eller T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| project-away | Markerar de kolumner som ska undantas från utdata | T | project-away ColumnNameOrPattern [, ...] |
| project-keep | Markerar de kolumner som ska behållas i utdata | T | project-keep ColumnNameOrPattern [, ...] |
| project-rename | Byter namn på kolumner i resultatutdata | T | project-rename new_column_name = column_name |
| project-reorder | Ordnar om kolumner i resultatutdata | T | project-reorder Col2, Col1, Col* asc |
| Utöka | Skapar en beräknad kolumn och lägger till den i resultatuppsättningen | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| Sortera och aggregera datauppsättning | Omstrukturera data genom att sortera eller gruppera dem på meningsfulla sätt | |
| sort-operatorn | Sortera raderna i indatatabellen efter en eller flera kolumner i stigande eller fallande ordning | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| Topp | Returnerar de första N raderna i datauppsättningen när datauppsättningen sorteras med hjälp av by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| Sammanfatta | Grupperar raderna enligt gruppkolumnerna by och beräknar sammansättningar över varje grupp |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| Räkna | Räknar poster i indatatabellen (till exempel T) Den här operatorn är förkortning för summarize count() |
T | count |
| Ansluta sig till | Sammanfogar raderna i två tabeller för att bilda en ny tabell genom att matcha värdena för de angivna kolumnerna från varje tabell. Stöder ett komplett utbud av kopplingstyper: fullouter, inner, innerunique, leftanti, leftantisemi, leftouter, leftsemi, rightanti, rightantisemi, , rightouterrightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| Unionen | Tar två eller flera tabeller och returnerar alla sina rader | [T1] | union [T2], [T3], … |
| Utbud | Genererar en tabell med en aritmetikserie med värden | range columnName from start to stop step step |
| Formatera data | Omstrukturera data till utdata på ett användbart sätt | |
| Sökning | Utökar kolumnerna i en faktatabell med värden som har letats upp i en dimensionstabell | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | Omvandlar dynamiska matriser till rader (flervärdesexpansion) | T | mv-expand Column |
| parse | Utvärderar ett stränguttryck och parsar dess värde till en eller flera beräknade kolumner. Används för att strukturera ostrukturerade data. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| make-series | Skapar serie med angivna aggregerade värden längs en angiven axel | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| Låt | Binder ett namn till uttryck som kan referera till dess bundna värde. Värden kan vara lambda-uttryck för att skapa frågedefinierade funktioner som en del av frågan. Använd let för att skapa uttryck över tabeller vars resultat ser ut som en ny tabell. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| Allmänt | Diverse åtgärder och funktioner | |
| Åberopa | Kör funktionen i den tabell som den tar emot som indata. | T | invoke function([param1, param2]) |
| utvärdera pluginName | Utvärderar frågespråktillägg (plugin-program) | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| Visualisering | Åtgärder som visar data i grafiskt format | |
| Göra | Renderar resultat som grafiska utdata | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |
Relaterat innehåll
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för