Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: ✅Microsoft Fabric✅Azure Data Explorer✅Azure Monitor✅Microsoft Sentinel
En este artículo se muestra una lista de funciones y sus descripciones para ayudarle a empezar a usar el lenguaje de consulta Kusto.
| Operador/función | Description | Syntax |
|---|---|---|
| Filtro, búsqueda y condición | Búsqueda de datos relevantes mediante el filtrado o la búsqueda | |
| where | Filtros con un predicado específico | T | where Predicate |
| donde contiene o tiene |
Contains: busca cualquier coincidencia de subcadena. Has: busca una palabra específica (mejor rendimiento) |
T | where col1 contains/has "[search term]" |
| buscar | Busca en todas las columnas de la tabla el valor | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| take | Devuelve el número especificado de registros. Uso para probar una consulta Nota: take y limit son sinónimos. |
T | take NumberOfRows |
| caso | Agrega una instrucción condition, similar a if/then/elseif en otros sistemas. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| distinto | Genera una tabla con la combinación distinta de las columnas proporcionadas de la tabla de entrada. | distinct [ColumnName], [ColumnName] |
| Fecha y hora | Operaciones que usan funciones de fecha y hora | |
| hace | Devuelve el desplazamiento de tiempo en relación con la hora en que se ejecuta la consulta. Por ejemplo, ago(1h) es una hora antes de la lectura del reloj actual. |
ago(a_timespan) |
| format_datetime | Devuelve datos en varios formatos de fecha. | format_datetime(datetime , format) |
| bin | Redondea todos los valores en un intervalo de tiempo y los agrupa | bin(value,roundTo) |
| Crear o quitar columnas | Agregar o quitar columnas en una tabla | |
| Genera una sola fila con una o varias expresiones escalares. | print [ColumnName =] ScalarExpression [',' ...] |
|
| proyecto | Selecciona las columnas que se van a incluir en el orden especificado. | T | project ColumnName [= Expression] [, ...] O bien: T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| proyecto externo | Selecciona las columnas que se van a excluir de la salida. | T | project-away ColumnNameOrPattern [, ...] |
| project-keep | Selecciona las columnas que se mantendrán en la salida. | T | project-keep ColumnNameOrPattern [, ...] |
| project-rename | Cambia el nombre de las columnas de la salida del resultado. | T | project-rename new_column_name = column_name |
| reordenar el proyecto | Reordena las columnas en la salida del resultado | T | project-reorder Col2, Col1, Col* asc |
| extend | Crea una columna calculada y la agrega al conjunto de resultados. | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| Ordenar y agregar conjunto de datos | Reestructurar los datos ordenando o agrupandolos de maneras significativas | |
| Operador de ordenación | Ordenar las filas de la tabla de entrada por una o varias columnas en orden ascendente o descendente | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| top | Devuelve las primeras N filas del conjunto de datos cuando el conjunto de datos se ordena mediante by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| resumir | Agrupa las filas según las columnas de grupo by y calcula las agregaciones de cada grupo. |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| count | Cuenta los registros de la tabla de entrada (por ejemplo, T) Este operador es abreviado para summarize count() |
T | count |
| unirse | Combina las filas de dos tablas para formar una nueva tabla mediante la coincidencia de valores de las columnas especificadas de cada tabla. Admite una gama completa de tipos de combinación: fullouter, inner, inneruniqueleftantileftantisemileftouterleftsemirightanti, , rightantisemi, , rightouterrightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| union | Toma dos o más tablas y devuelve todas sus filas | [T1] | union [T2], [T3], … |
| rango | Genera una tabla con una serie aritmética de valores | range columnName from start to stop step step |
| Dar formato a los datos | Reestructurar los datos que se van a generar de una manera útil | |
| Búsqueda | Extiende las columnas de una tabla de hechos con valores buscados en una tabla de dimensiones | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | Convierte matrices dinámicas en filas (expansión de varios valores) | T | mv-expand Column |
| analizar | Evalúa una expresión de cadena y analiza su valor en una o varias columnas calculadas. Se usa para estructurar datos no estructurados. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| make-series | Crea una serie de valores agregados especificados a lo largo de un eje especificado. | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| let | Enlaza un nombre a expresiones que pueden hacer referencia a su valor enlazado. Los valores pueden ser expresiones lambda para crear funciones definidas por consultas como parte de la consulta. Use let para crear expresiones en tablas cuyos resultados se parezcan a una nueva tabla. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| General | Varias operaciones y funciones | |
| invocar | Ejecuta la función en la tabla que recibe como entrada. | T | invoke function([param1, param2]) |
| evaluate pluginName | Evalúa las extensiones del lenguaje de consulta (plugins) | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| Visualización | Operaciones que muestran los datos en un formato gráfico | |
| renderizar | Representa los resultados como una salida gráfica | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |