Verwenden des extend-Operators
Der Erweiterungsoperator erzeugt berechnete Spalten und fügt die neuen Spalten an die Ergebnisse an.
Das folgende KQL-Beispiel legt mit dem Operator extend eine neue Spalte StartDir an, die das Verzeichnis enthält, in dem ein Prozess gestartet wurde. Die Spalte „StartDir“ ist eine berechnete Spalte, die die Ergebnisse einer Substring-Funktion enthält.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))