プロジェクト演算子を使用する
プロジェクト演算子を使用して、ステートメントの結果セットにどの列を含めるか、または追加、削除、名前の変更を行うかを制御します。
プロジェクト演算子には複数の種類があります。 次の表に、バリエーションの一覧を示します。
| 演算子 | 説明 |
|---|---|
| project | 含める列、名前を変更する列、または削除する列を選択し、新しい計算列を挿入します。 |
| project-away | 出力から除去する入力の列を選択します。 |
| project-keep | 出力に保持する入力の列を選択します。 |
| project-rename | 結果の出力で名前を変更する列を選択します。 |
| project-reorder | 結果の出力における列の順序を設定します。 |
project 演算子
含める列、名前を変更する列、または削除する列を選択し、新しい計算列を挿入します。
ヒント
project 演算子によって結果セットのサイズが制限されるため、パフォーマンスが向上します。
各クエリを個別に実行して、結果を確認します。
SecurityEvent
| project Computer, Account
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project Process, StartDir
project-away 演算子
出力から除去する入力の列を選択します。
この例は、前出の extend および order by 演算子から構築されています。 project-away によって不要な列が結果セットから削除されます。 この例では、ProcessName 列を削除します。
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project-away ProcessName