Usare gli operatori project
Gli operatori project controllano le colonne da includere, aggiungere, rimuovere o rinominare nel set di risultati di un'istruzione.
Sono disponibili diversi tipi di operatori project. La tabella seguente include un elenco delle possibili varianti.
| Operatore | Descrizione |
|---|---|
| progetto | Selezionare le colonne da includere, rinominare o rilasciare e inserire nuove colonne calcolate. |
| project-away | Selezionare le colonne dell'input da escludere dall'output. |
| project-keep | Selezionare le colonne dell'input da mantenere nell'output. |
| project-rename | Selezionare le colonne da rinominare nell'output risultante. |
| project-reorder | Selezionare l'ordine delle colonne nell'output risultante. |
Operatore project
Selezionare le colonne da includere, rinominare o rilasciare e inserire nuove colonne calcolate.
Suggerimento
L'operatore project consente di limitare le dimensioni del set di risultati, contribuendo così a migliorare le prestazioni.
Eseguire ogni query separatamente per visualizzare i risultati.
SecurityEvent
| project Computer, Account
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project Process, StartDir
Operatore project-away
Selezionare le colonne dell'input da escludere dall'output.
Questo esempio si basa sugli operatori extend e order by illustrati nelle unità precedenti. L'operatore project-away rimuove la colonna non necessaria dal set di risultati. In questo esempio verrà rimossa la colonna ProcessName.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project-away ProcessName