union 演算子を使用する
union 演算子は、2 つ以上のテーブルを取り、それらのすべての行数を返します。 結果を渡す方法、およびパイプ文字によってどのような影響があるかを理解することは重要です。
クエリ ウィンドウに設定された時間枠に基づいて、次が実行されます。
Query 1 で SecurityEvent のすべての行と SigninLogs のすべての行が返されます
Query 2 で SecurityEvent のすべての行数と SigninLogs のすべての行数である 1 つの行と列が返されます
Query 3 で SecurityEvent のすべての行と SigninLogs の 1 つの行が返されます。
各クエリを個別に実行して、結果を確認します。
// Query 1
SecurityEvent
| union SigninLogs
// Query 2
SecurityEvent
| union SigninLogs
| summarize count()
| project count_
// Query 3
SecurityEvent
| union (SigninLogs | summarize count()| project count_)
union 演算子は、複数のテーブルの結合にワイルドカードをサポートしています。 次の KQL では、Security で始まる名前を持つすべてのテーブルの行数を作成します。
union Security*
| summarize count() by Type