Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a: ✅Microsoft Fabric✅Azure Data Explorer✅Azure Monitor✅Microsoft Sentinel
Este artigo mostra uma lista de funções e suas descrições para ajudá-lo a começar a usar o Kusto Query Language.
| Operador/Função | Description | Sintaxe |
|---|---|---|
| Filtrar/Pesquisar/Condição | Encontre dados relevantes filtrando ou pesquisando | |
| where | Filtros em um predicado específico | T | where Predicate |
| onde contém/tem |
Contains: Procura qualquer correspondência de substring Has: Procura uma palavra específica (melhor desempenho) |
T | where col1 contains/has "[search term]" |
| Pesquisar | Pesquisa o valor em todas as colunas da tabela | [TabularSource |] search [kind=CaseSensitivity] [in (TableSources)] SearchPredicate |
| take | Retorna o número especificado de registros. Utilizar para testar uma consulta Nota: take e limit são sinónimos. |
T | take NumberOfRows |
| caixa | Adiciona uma instrução de condição, semelhante a if/then/elseif em outros sistemas. | case(predicate_1, then_1, predicate_2, then_2, predicate_3, then_3, else) |
| distinto | Produz uma tabela com a combinação distinta das colunas fornecidas da tabela de entrada | distinct [ColumnName], [ColumnName] |
| Data/Hora | Operações que usam funções de data e hora | |
| ago | Retorna o deslocamento de tempo em relação ao momento em que a consulta é executada. Por exemplo, ago(1h) é uma hora antes da hora marcada no relógio atual. |
ago(a_timespan) |
| format_datetime | Retorna dados em vários formatos de data. | format_datetime(datetime , format) |
| caixote do lixo | Arredonda todos os valores em um período de tempo e os agrupa | bin(value,roundTo) |
| Criar/Remover Colunas | Adicionar ou remover colunas numa tabela | |
| Gera uma única linha com uma ou mais expressões escalares | print [ColumnName =] ScalarExpression [',' ...] |
|
| projeto | Seleciona as colunas a serem incluídas na ordem especificada | T | project ColumnName [= Expression] [, ...] Ou T | project [ColumnName | (ColumnName[,]) =] Expression [, ...] |
| projeto-fora | Seleciona as colunas a serem excluídas da saída | T | project-away ColumnNameOrPattern [, ...] |
| manutenção do projeto | Seleciona as colunas a serem mantidas no resultado | T | project-keep ColumnNameOrPattern [, ...] |
| renomear-projeto | Renomeia colunas na saída do resultado | T | project-rename new_column_name = column_name |
| projeto-reordenação | Reordena colunas na saída do resultado | T | project-reorder Col2, Col1, Col* asc |
| extend | Cria uma coluna calculada e a adiciona ao conjunto de resultados | T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...] |
| Classificar e agregar conjunto de dados | Reestruture os dados classificando-os ou agrupando-os de maneiras significativas | |
| operador de classificação | Classificar as linhas da tabela de entrada por uma ou mais colunas em ordem crescente ou decrescente | T | sort by expression1 [asc|desc], expression2 [asc|desc], … |
| Início | Retorna as primeiras N linhas do conjunto de dados quando o conjunto de dados é classificado usando by |
T | top numberOfRows by expression [asc|desc] [nulls first|last] |
| resumir | Agrupa as linhas de acordo com as colunas de agrupamento by e realiza cálculos de agregação em cada grupo |
T | summarize [[Column =] Aggregation [, ...]] [by [Column =] GroupExpression [, ...]] |
| contagem | Conta registros na tabela de entrada (por exemplo, T) Este operador é uma abreviatura de summarize count() |
T | count |
| junte-se a | Mescla as linhas de duas tabelas para formar uma nova tabela combinando valores da(s) coluna(s) especificada(s) de cada tabela. Suporta uma gama completa de tipos de junção: fullouter, inner, innerunique, leftanti, leftantisemi, leftouter, leftsemi, rightantirightantisemirightouterrightsemi |
LeftTable | join [JoinParameters] ( RightTable ) on Attributes |
| sindicato | Pega duas ou mais tabelas e retorna todas as suas linhas | [T1] | union [T2], [T3], … |
| range | Gera uma tabela com uma série aritmética de valores | range columnName from start to stop step step |
| Formatar dados | Reestruture os dados para a saída de uma forma útil | |
| pesquisa | Estende as colunas de uma tabela de fatos com valores pesquisados em uma tabela de dimensões | T1 | lookup [kind = (leftouter|inner)] ( T2 ) on Attributes |
| mv-expand | Transforma matrizes dinâmicas em linhas (expansão de vários valores) | T | mv-expand Column |
| analisar | Avalia uma expressão de cadeia de caracteres e analisa seu valor em uma ou mais colunas calculadas. Use para estruturar dados não estruturados. | T | parse [kind=regex [flags=regex_flags] |simple|relaxed] Expression with * (StringConstant ColumnName [: ColumnType]) *... |
| make-series | Cria séries de valores agregados especificados ao longo de um eixo especificado | T | make-series [MakeSeriesParamters] [Column =] Aggregation [default = DefaultValue] [, ...] on AxisColumn from start to end step step [by [Column =] GroupExpression [, ...]] |
| deixar | Vincula um nome a expressões que podem se referir ao seu valor vinculado. Os valores podem ser expressões lambda para criar funções definidas pela consulta como parte da consulta. Use let para criar expressões sobre tabelas cujos resultados se parecem com uma nova tabela. |
let Name = ScalarExpression | TabularExpression | FunctionDefinitionExpression |
| General | Operações e funções diversas | |
| invocar | Executa a função na tabela que recebe como entrada. | T | invoke function([param1, param2]) |
| avaliar pluginName | Avalia extensões de linguagem de consulta (plugins) | [T |] evaluate [ evaluateParameters ] PluginName ( [PluginArg1 [, PluginArg2]... ) |
| Visualização | Operações que exibem os dados em um formato gráfico | |
| renderizar | Renderiza resultados como uma saída gráfica | T | render Visualization [with (PropertyName = PropertyValue [, ...] )] |