Usare l'operatore extend
L'operatore extend creerà colonne calcolate e aggiungerà le nuove colonne al set di risultati.
L'esempio KQL seguente usa l'operatore extend per creare una nuova colonna, StartDir, contenente la directory in cui è stato avviato un processo. La colonna StartDir è una colonna calcolata contenente i risultati di una funzione substring.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))