Použití operátoru extend
Operátor extend vytvoří počítané sloupce a připojí nové sloupce k sadě výsledků.
Následující příklad KQL používá rozšiřující operátor k vytvoření nového sloupce StartDir obsahující adresář, ve které byl spuštěn proces. Sloupec StartDir je počítaný sloupec obsahující výsledky funkce podřetězdce.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))