Uso del operador union

5 minutos

El operador union toma dos o más tablas y devuelve las filas de todas ellas. Es fundamental comprender cómo se pasan los resultados y cómo les afecta la barra vertical.

En función del período de tiempo establecido en la ventana Consulta:

La consulta 1 devolverá todas las filas de SecurityEvent y todas las filas de SigninLogs
La consulta 2 devolverá una fila y una columna, que es el recuento total de todas las filas de SecurityEvent y todas las filas de SigninLogs
La consulta 3 devolverá todas las filas de SecurityEvent y una fila de SigninLogs.

Ejecute cada consulta por separado para ver los resultados.

// Query 1

SecurityEvent 
| union SigninLogs  

// Query 2

SecurityEvent 
| union SigninLogs  
| summarize count() 
| project count_

// Query 3

SecurityEvent 
| union (SigninLogs | summarize count()| project count_)

El operador union admite caracteres comodín para unir varias tablas. El siguiente código KQL creará un recuento de las filas de todas las tablas cuyo nombre empiece por Security.

union Security* 
| summarize count() by Type

Uso del operador union

Comentarios