Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: ✅Microsoft Fabric✅Azure Data Explorer✅Azure Monitor✅Microsoft Sentinel
Este artigo mostra uma lista de funções e suas descrições para ajudar você a começar a usar a Linguagem de Consulta Kusto.
| Operador/função | Description | Sintaxe |
|---|---|---|
| Filtrar/Pesquisar/Condição | Localizar dados relevantes filtrando ou pesquisando | |
| where | Filtros em um predicado específico | T | where Predicate |
| onde contém/tem |
Contains: procura qualquer correspondência de subcadeia de caracteres Has: procura uma palavra específica (melhor desempenho) |
T | where col1 contains/has "[search term]" |
| buscar | Pesquisa todas as colunas na tabela em busca do valor | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| take | Retorna o número especificado de registros. Usar para testar uma consulta Observação: take e limit são sinônimos. |
T | take NumberOfRows |
| caso | Adiciona uma instrução de condição, semelhante a if/then/elseif em outros sistemas. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| diferente | Produz uma tabela com a combinação distinta das colunas fornecidas da tabela de entrada | distinct [ColumnName], [ColumnName] |
| Data/Hora | Operações que usam funções de data e hora | |
| atrás | Retorna o deslocamento de tempo relativo ao tempo em que a consulta é executada. Por exemplo, ago(1h) é uma hora antes da leitura do relógio atual. |
ago(a_timespan) |
| format_datetime | Retorna dados em vários formatos de data. | format_datetime(datetime , format) |
| binário | Arredonda todos os valores em um período de tempo e os agrupa | bin(value,roundTo) |
| Criar/remover colunas | Adicionar ou remover colunas em uma tabela | |
| Gera uma única linha com uma ou mais expressões escalares | print [ColumnName =] ScalarExpression [',' ...] |
|
| projeto | Seleciona as colunas a serem incluídas na ordem especificada | T | project ColumnName [= Expression] [, ...] Ou T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| project-away | Seleciona as colunas a serem excluídas da saída | T | project-away ColumnNameOrPattern [, ...] |
| project-keep | Seleciona as colunas a serem mantidas na saída | T | project-keep ColumnNameOrPattern [, ...] |
| project-rename | Renomeia colunas na saída do resultado | T | project-rename new_column_name = column_name |
| reordenação de projeto | Reordena colunas na saída do resultado | T | project-reorder Col2, Col1, Col* asc |
| extend | Cria uma coluna calculada e a adiciona ao conjunto de resultados | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| Classificar e agregar conjunto de dados | Reestruturar os dados classificando-os ou agrupando-os de maneiras significativas | |
| operador de classificação | Classificar as linhas da tabela de entrada por uma ou mais colunas em ordem crescente ou decrescente | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| top | Retorna as primeiras N linhas do conjunto de dados quando o conjunto de dados é classificado usando by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| resumir | Agrupa as linhas de acordo com as colunas do grupo by e realiza cálculos de agregação para cada grupo. |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| contagem | Conta registros na tabela de entrada (por exemplo, T) Este operador é abreviado para summarize count() |
T | count |
| join | Mescla as linhas de duas tabelas para formar uma nova tabela, correspondendo aos valores das colunas especificadas de cada tabela. Dá suporte a uma gama completa de tipos de junção: fullouter, , inner, innerunique, leftanti, leftantisemi, , leftouter, leftsemi, rightanti, , rightantisemi, , rightouterrightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| union | Toma duas ou mais tabelas e retorna todas as suas linhas | [T1] | union [T2], [T3], … |
| range | Gera uma tabela com uma série aritmética de valores | range columnName from start to stop step step |
| Formatar dados | Reestruturar os dados para a saída de uma maneira útil | |
| pesquisa | Estende as colunas de uma tabela de fatos com valores buscados em uma tabela de dimensão | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | Transforma matrizes dinâmicas em linhas (expansão de vários valores) | T | mv-expand Column |
| analisar | Avalia uma expressão de cadeia de caracteres e analisa seu valor em uma ou mais colunas calculadas. Use para estruturar dados não estruturados. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| make-series | Cria uma série de valores agregados especificados ao longo de um eixo especificado | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| let | Associa um nome a expressões que podem se referir ao seu valor associado. Os valores podem ser expressões lambda para criar funções definidas por consulta como parte da consulta. Use let para criar expressões sobre tabelas cujos resultados se parecem com uma nova tabela. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| Geral | Funções e operações diversas | |
| invocar | Executa a função na tabela que ela recebe como entrada. | T | invoke function([param1, param2]) |
| avaliar pluginName | Avalia extensões de linguagem de consulta (plug-ins) | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| Visualização | Operações que exibem os dados em um formato gráfico | |
| renderizar | Renderiza os resultados como uma saída gráfica | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |