Uso del operador extend
El operador extend creará columnas calculadas y anexará las nuevas columnas al conjunto de resultados.
En el ejemplo de KQL siguiente se usa el operador extend para crear una columna, StartDir, que contiene el directorio en el que se inició un proceso. La columna StartDir es una columna calculada que contiene los resultados de una función substring.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))