Utiliser les opérateurs de projet
Les opérateurs de projet contrôlent les colonnes à inclure, ajouter, supprimer ou renommer dans le jeu de résultats d’une instruction.
Il existe plusieurs types d’opérateurs de projet. Le tableau suivant répertorie les variations.
| Opérateur | Description |
|---|---|
| project | Sélectionnez les colonnes à inclure, renommer ou supprimer, puis insérez les nouvelles colonnes calculées. |
| project-away | Sélectionnez les colonnes de l'entrée à exclure du résultat. |
| project-keep | Sélectionner les colonnes de l’entrée à conserver dans la sortie. |
| project-rename | Sélectionnez les colonnes à renommer dans le résultat obtenu. |
| project-reorder | Définissez l’ordre des colonnes dans le résultat obtenu. |
Opérateur de projet
Sélectionnez les colonnes à inclure, renommer ou supprimer, puis insérez les nouvelles colonnes calculées.
Conseil
L’opérateur de projet limite la taille du jeu de résultats, ce qui améliore les performances.
Exécutez chaque requête séparément pour voir les résultats.
SecurityEvent
| project Computer, Account
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project Process, StartDir
Opérateur hors projet
Sélectionnez les colonnes de l'entrée à exclure du résultat.
Cet exemple s’appuie sur les opérateurs d’extension et de tri précédents. Le projet ne supprime pas la colonne inutile du jeu de résultats. Dans cet exemple, nous allons supprimer la colonne ProcessName.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project-away ProcessName