Uso de los operadores project
Los operadores project controlan qué columnas se van a incluir, agregar, quitar o cambiar de nombre en el conjunto de resultados de una instrucción.
Hay varios tipos de operadores project. En la tabla siguiente se muestra una lista de las variaciones.
| Operator | Descripción |
|---|---|
| project | Seleccione las columnas que se incluirán, cambie el nombre o quite e inserte nuevas columnas calculadas. |
| project-away | Seleccione qué columnas de la entrada excluir del resultado. |
| project-keep | Seleccione las columnas de la entrada que desea conservar en la salida. |
| project-rename | Seleccione las columnas a las que cambiar el nombre en la salida resultante. |
| project-reorder | Seleccione el orden de las columnas en la salida resultante. |
Operador project
Seleccione las columnas que se incluirán, cambie el nombre o quite e inserte nuevas columnas calculadas.
Sugerencia
El operador project limitará el tamaño del conjunto de resultados, lo que aumentará el rendimiento.
Ejecute cada consulta por separado para ver los resultados.
SecurityEvent
| project Computer, Account
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project Process, StartDir
Operador project-away
Seleccione qué columnas de la entrada excluir del resultado.
Este ejemplo se basa en nuestros operadores extend y order by anteriores. El proyecto quitará la columna innecesaria del conjunto de resultados. En este ejemplo, quitaremos la columna ProcessName.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project-away ProcessName