Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel finden Sie eine Liste der Funktionen und deren Beschreibungen, die Ihnen bei den ersten Schritten mit der Kusto-Abfragesprache helfen.
| Operator/Funktion | Description | Syntax |
|---|---|---|
| Filter/Suche/Bedingung | Suchen relevanter Daten durch Filtern oder Suchen | |
| where | Filtert nach einem bestimmten Prädikat | T | where Predicate |
| wo enthalten/hat |
Contains: Sucht nach jeder Teilzeichenfolgenübereinstimmung Has: Sucht nach einem bestimmten Wort (bessere Leistung) |
T | where col1 contains/has "[search term]" |
| suchen | Durchsucht alle Spalten in der Tabelle nach dem Wert. | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| take | Gibt die angegebene Anzahl von Datensätzen zurück. Wird verwendet, um eine Abfrage zu testen Hinweis: take Und limit sind Synonyme. |
T | take NumberOfRows |
| case | Fügt eine Bedingungsanweisung hinzu, ähnlich wie if/then/elseif in anderen Systemen. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| deutlich | Erzeugt eine Tabelle mit der eindeutigen Kombination der bereitgestellten Spalten der Eingabetabelle. | distinct [ColumnName], [ColumnName] |
| Datum/Uhrzeit | Vorgänge, die Datums- und Uhrzeitfunktionen verwenden | |
| vor | Gibt den Zeitversatz relativ zum Zeitpunkt der Ausführung der Abfrage zurück. Beispielsweise ist ago(1h) eine Stunde vor der aktuellen Uhrzeit. |
ago(a_timespan) |
| format_datetime | Gibt Daten in verschiedenen Datumsformaten zurück. | format_datetime(datetime , format) |
| Behälter | Rundet alle Werte in einem Zeitrahmen ab und gruppiert sie. | bin(value,roundTo) |
| Spalten erstellen/entfernen | Hinzufügen oder Entfernen von Spalten in einer Tabelle | |
| Gibt eine einzelne Zeile mit einem oder mehreren skalaren Ausdrücken aus. | print [ColumnName =] ScalarExpression [',' ...] |
|
| Projekt | Markiert die Spalten, die in die angegebene Reihenfolge eingeschlossen werden sollen. | T | project ColumnName [= Expression] [, ...] Oder: T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| Projektabwesend | Markiert die Spalten, die von der Ausgabe ausgeschlossen werden sollen. | T | project-away ColumnNameOrPattern [, ...] |
| Projektaufbewahrung | Wählt die Spalten aus, die in der Ausgabe beibehalten werden sollen. | T | project-keep ColumnNameOrPattern [, ...] |
| Projektbenennung | Benennt Spalten in der Ergebnisausgabe um. | T | project-rename new_column_name = column_name |
| Projekt neu anordnen | Neuanordnen von Spalten in der Ergebnisausgabe | T | project-reorder Col2, Col1, Col* asc |
| extend | Erstellt eine berechnete Spalte und fügt sie dem Resultset hinzu. | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| Sortieren und Aggregieren von Datasets | Strukturieren Sie die Daten neu, indem Sie sie auf sinnvolle Weise sortieren oder gruppieren | |
| Sortieroperator | Sortieren der Zeilen der Eingabetabelle nach einer oder mehreren Spalten in aufsteigender oder absteigender Reihenfolge | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| top | Gibt die ersten N Zeilen des Datasets zurück, wenn das Dataset mit by sortiert ist. |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| zusammenfassen | Gruppiert die Zeilen entsprechend den by Gruppenspalten und berechnet Aggregationen über jede Gruppe. |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| anzahl | Zählt Datensätze in der Eingabetabelle (z. B. T) Dieser Operator ist kurz für summarize count() |
T | count |
| verbinden | Führt die Zeilen zweier Tabellen zusammen, um eine neue Tabelle zu bilden, indem die Werte der angegebenen Spalten in jeder Tabelle abgeglichen werden. Unterstützt eine vollständige Palette von Verknüpfungstypen: fullouter, , inner, innerunique, leftanti, leftantisemi, leftouterleftsemi, rightanti, , , rightantisemirightouterrightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| Gewerkschaft | Nimmt zwei oder mehr Tabellen und gibt alle ihre Zeilen zurück. | [T1] | union [T2], [T3], … |
| range | Generiert eine Tabelle mit einer arithmetischen Wertereihe. | range columnName from start to stop step step |
| Formatieren von Daten | Strukturieren sie die Daten so, dass sie auf nützliche Weise ausgegeben werden | |
| Abfrage | Erweitert die Spalten einer Faktentabelle mit Werten, die in einer Dimensionstabelle nachgeschlagen werden. | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | Wandelt dynamische Arrays in Zeilen um (Mehrwerterweiterung) | T | mv-expand Column |
| analysieren | Wertet einen Zeichenfolgenausdruck aus und verarbeitet dessen Wert in eine oder mehrere berechnete Spalten. Wird zum Strukturieren unstrukturierter Daten verwendet. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| Make-Series | Erstellt eine Reihe von angegebenen aggregierten Werten entlang einer angegebenen Achse. | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| let | Bindet einen Namen an Ausdrücke, die auf seinen gebundenen Wert verweisen können. Werte können Lambda-Ausdrücke sein, um abfragedefinierte Funktionen als Teil der Abfrage zu erstellen. Dient let zum Erstellen von Ausdrücken über Tabellen, deren Ergebnisse wie eine neue Tabelle aussehen. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| Allgemein | Verschiedene Vorgänge und Funktionen | |
| aufrufen | Führt die Funktion in der Tabelle aus, die sie als Eingabe empfängt. | T | invoke function([param1, param2]) |
| pluginName auswerten | Wertet Abfragesprachenerweiterungen (Plugins) aus. | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| Visualisierung | Vorgänge, die die Daten in einem grafischen Format anzeigen | |
| rendern | Rendert Ergebnisse als grafische Ausgabe | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |