Verwenden der project-Operatoren
Project-Operatoren steuern, welche Spalten im Resultset einer Anweisung eingeschlossen, hinzugefügt, entfernt oder umbenannt werden sollen.
Es gibt mehrere Typen von project-Operatoren. In der folgenden Tabelle finden Sie eine Liste der Varianten.
| Operator | BESCHREIBUNG |
|---|---|
| project | Wählen Sie die Spalten aus, die einbezogen, umbenannt oder gelöscht werden sollen, und fügen Sie neue berechnete Spalten ein. |
| project-away | Wählen Sie aus, welche Spalten von der Eingabe in der Ausgabe ausgeschlossen werden sollen. |
| project-keep | Wählen Sie aus, welche Spalten aus der Eingabe in der Ausgabe erhalten bleiben sollen. |
| project-rename | Wählen Sie die Spalten aus, die in der resultierenden Ausgabe umbenannt werden sollen. |
| project-reorder | Legen Sie die Spaltenreihenfolge in der resultierenden Ausgabe fest. |
project-Operator
Wählen Sie die Spalten aus, die einbezogen, umbenannt oder gelöscht werden sollen, und fügen Sie neue berechnete Spalten ein.
Tipp
Der project-Operator begrenzt die Größe des Resultsets, wodurch die Leistung erhöht wird.
Führen Sie jede Abfrage separat aus, um die Ergebnisse anzuzeigen.
SecurityEvent
| project Computer, Account
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project Process, StartDir
project-away-Operator
Wählen Sie aus, welche Spalten von der Eingabe in der Ausgabe ausgeschlossen werden sollen.
Dieses Beispiel baut auf den vorherigen extend- und order by-Operatoren auf. Der project-away-Operator entfernt die unnötige Spalte aus dem Resultset. In diesem Beispiel werden wir die Spalte „ProcessName“ entfernen.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project-away ProcessName