extend 演算子を使用する
extend 演算子は、計算列を作成し、新しい列を結果セットに追加します。
次の KQL 例では、extend 演算子を使用して、プロセスが開始されたディレクトリを含む、StartDir という新しい列を作成しています。 StartDir 列は、substring 関数の結果を含んだ計算列です。
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))