Usare l'operatore union
L'operatore union considera due o più tabelle e restituisce le righe di tutte le tabelle. Comprendere in che modo vengono passati i risultati e come influisce il carattere barra verticale è fondamentale.
In base all'intervallo di tempo impostato nella finestra di query:
La query 1 restituisce tutte le righe di SecurityEvent e tutte le righe di SigninLogs
La query 2 restituisce una riga e una colonna, ovvero il numero di tutte le righe di SecurityEvent e di tutte le righe di SigninLogs
La query 3 restituisce tutte le righe di SecurityEvent e una riga di SigninLogs.
Eseguire ogni query separatamente per visualizzare i risultati.
// Query 1
SecurityEvent
| union SigninLogs
// Query 2
SecurityEvent
| union SigninLogs
| summarize count()
| project count_
// Query 3
SecurityEvent
| union (SigninLogs | summarize count()| project count_)
L'operatore union supporta caratteri jolly per l'unione di più tabelle. Il codice KQL seguente riporta il numero delle righe in tutte le tabelle i cui nomi iniziano con Security.
union Security*
| summarize count() by Type