Použití operátoru sjednocení
Operátor sjednocení přebírá dvě nebo více tabulek a vrací řádky všech z nich. Pochopení způsobu předávání výsledků a ovlivnění znakem svislé roury je nezbytné.
Na základě časového intervalu nastaveného v okně dotazu:
Dotaz 1 vrátí všechny řádky SecurityEvent a všechny řádky signinLogs.
Dotaz 2 vrátí jeden řádek a sloupec, což je počet všech řádků SecurityEvent a všech řádků signinLogs.
Dotaz 3 vrátí všechny řádky SecurityEvent a jeden řádek pro SigninLogs.
Výsledky zobrazíte spuštěním jednotlivých dotazů zvlášť.
// Query 1
SecurityEvent
| union SigninLogs
// Query 2
SecurityEvent
| union SigninLogs
| summarize count()
| project count_
// Query 3
SecurityEvent
| union (SigninLogs | summarize count()| project count_)
Operátor sjednocení podporuje zástupné cardy ke sjednocení více tabulek. Následující KQL vytvoří počet řádků ve všech tabulkách s názvy, které začínají zabezpečením.
union Security*
| summarize count() by Type