Utiliser l’opérateur d’union
L’opérateur d’union prend deux tables ou plus et retourne les lignes de toutes les tables. Il est essentiel de comprendre comment les résultats sont passés et affectés par le caractère de barre verticale.
Sur la base de la fenêtre de temps définie dans la fenêtre de requête :
La requête 1 retourne toutes les lignes de SecurityEvent et toutes les lignes de SigninLogs
La requête 2 retourne une ligne et une colonne, ce qui correspond au nombre de toutes les lignes de SecurityEvent et de toutes les lignes de SigninLogs
La requête 3 retourne toutes les lignes de SecurityEvent et une ligne de SigninLogs.
Exécutez chaque requête séparément pour voir les résultats.
// Query 1
SecurityEvent
| union SigninLogs
// Query 2
SecurityEvent
| union SigninLogs
| summarize count()
| project count_
// Query 3
SecurityEvent
| union (SigninLogs | summarize count()| project count_)
L’opérateur d’union prend en charge les caractères génériques pour unir plusieurs tables. Le KQL suivant crée un nombre de lignes de toutes les tables dont le nom commence par Sécurité.
union Security*
| summarize count() by Type