Del via

Tilpasse resultater i KQL Queryset-resultatrutenettet

  • Artikkel

Bruk resultatrutenettet i KQL-spørringssettet til å tilpasse resultatene og utføre ytterligere analyser på dataene. Denne artikkelen beskriver handlinger som kan gjøres i resultatrutenettet etter at en spørring er kjørt.

Forutsetninger

Utvide en celle

Utvide celler er nyttige for å vise lange strenger eller dynamiske felt, for eksempel JSON.

  1. Dobbeltklikk en celle for å åpne en utvidet visning. Med denne visningen kan du lese lange strenger og gi en JSON-formatering for dynamiske data.

    Skjermbilde av KQL-spørringssettet som viser resultatene av en spørring med en utvidet celle for å vise lange strenger. Den utvidede cellen er uthevet.

  2. Velg ikonet øverst til høyre i resultatrutenettet for å bytte modus for leserute. Velg mellom følgende leserutemoduser for utvidet visning: innebygd, under rute og høyre rute.

    Skjermbilde av KQL Queryset-resultatruten som viser alternativet for å endre visningsmodusen for spørringsresultatruten.

Vise en rad

Når du arbeider med en tabell med mange kolonner, utvider du hele raden slik at du enkelt kan se en oversikt over de ulike kolonnene og innholdet.

  1. Klikk pilen > til venstre for raden du vil utvide.

    Skjermbilde av KQL Queryset-resultatruten som viser en utvidet rad.

  2. I den utvidede raden utvides noen kolonner (pilen peker nedover), og noen kolonner skjules (pilen peker mot høyre). Klikk på disse pilene for å veksle mellom disse to modusene.

Grupper kolonne etter resultater

I resultatene kan du gruppere resultater etter hvilken som helst kolonne.

  1. Kjør følgende spørring:

    StormEvents
| sort by StartTime desc
| take 10

  2. Hold pekeren over kolonnen delstat, velg menyen, og velg grupper etter delstat.

    Skjermbilde av resultatruten for KQL-spørringssett som viser menyen for kolonnen med tittelen Tilstand. Menyalternativet for gruppering etter tilstand er uthevet.

  3. Dobbeltklikk på California i rutenettet for å utvide og se poster for denne tilstanden. Denne typen gruppering kan være nyttig når du utfører utforskende analyse.

    Skjermbilde av et rutenett for spørringsresultater med California-gruppen utvidet i KQL Queryset.

  4. Hold pekeren over kolonnen grupper, og velg deretter Tilbakestill kolonner/Del opp gruppe etter <kolonnenavn>. Denne innstillingen returnerer rutenettet til den opprinnelige tilstanden.

    Skjermbilde av innstillingen for tilbakestillingskolonner uthevet i rullegardinlisten for kolonnen.

Skjul tomme kolonner

Du kan skjule/vise tomme kolonner ved å veksle øye-ikonet på resultatrutenettmenyen.

Skjermbilde av resultatruten for KQL-spørringssett. Øyeikonet for å skjule og vise tomme kolonner i resultatruten er uthevet.

Filtrer kolonner

Du kan bruke én eller flere operatorer til å filtrere resultatene av en kolonne.

  1. Hvis du vil filtrere en bestemt kolonne, velger du menyen for denne kolonnen.

  2. Velg filterikonet.

  3. Velg ønsket operator i filterverktøyet.

  4. Skriv inn uttrykket du vil filtrere kolonnen på. Resultatene filtreres mens du skriver.

    Notat

    Filteret skiller ikke mellom store og små bokstaver.

  5. Hvis du vil opprette et filter med flere betingelser, velger du en boolsk operator for å legge til en annen betingelse

  6. Hvis du vil fjerne filteret, sletter du teksten fra den første filterbetingelsen.

Kjør cellestatistikk

  1. Kjør følgende spørring.

    StormEvents
| sort by StartTime desc
| where DamageProperty > 5000
| project StartTime, State, EventType, DamageProperty, Source
| take 10

  2. Velg noen av de numeriske cellene i resultatruten. Med tabellrutenettet kan du merke flere rader, kolonner og celler og beregne aggregasjoner på dem. Følgende funksjoner støttes for numeriske verdier: Gjennomsnitt, Antall, Min, Maks.og Summer.

    Skjermbilde av KQL-spørringsresultatruten som viser noen få numeriske celler som er valgt. Resultatet av utvalget viser en beregnet aggregasjon av disse cellene.

Filtrer til spørring fra rutenett

En annen enkel måte å filtrere rutenettet på, er å legge til en filteroperator i spørringen direkte fra rutenettet.

  1. Merk en celle med innhold du vil opprette et spørringsfilter for.

  2. Høyreklikk for å åpne cellehandlingsmenyen. Velg Legg til merket område som filter.

    Skjermbilde av en rullegardinliste med alternativet Legg til utvalg som filter for å spørre direkte fra rutenettet.

  3. En spørringssetning legges til i spørringen i redigeringsprogrammet for spørring:

    Skjermbilde av redigeringsprogrammet for spørring som viser spørringssetningen som er lagt til fra filtrering på rutenettet i KQL Queryset.

Pivot

Pivotmodusfunksjonen ligner på Excels pivottabell, slik at du kan gjøre avansert analyse i selve rutenettet.

Pivotering gjør at du kan ta en kolonnes verdi og gjøre dem om til kolonner. Du kan for eksempel dreie på State for å lage kolonner for Florida, Missouri, Alabama og så videre.

  1. På høyre side av rutenettet velger du kolonner for å se tabellverktøypanelet.

    Skjermbilde som viser hvordan du får tilgang til pivotmodusfunksjonen.

  2. Velg pivotmodus, og dra deretter kolonner som følger: EventType for å radgrupper; DamagePropertyverdier; og state for å kolonneetiketter.

    Skjermbilde som uthever valgte kolonnenavn for å opprette pivottabellen.

    Resultatet skal se ut som følgende pivottabell:

    Skjermbilde av resultatene i en pivottabell.

Søk i resultatrutenettet

Du kan se etter et bestemt uttrykk i en resultattabell.

  1. Kjør følgende spørring:

    StormEvents
| where DamageProperty > 5000
| take 1000

  2. Velg Søk-knappen til høyre, og skriv inn «Wabash»-

    Skjermbilde av spørringsresultatruten som uthever søkealternativet i tabellen.

  3. Alle omtaler av det søkte uttrykket er nå uthevet i tabellen. Du kan navigere mellom dem ved å klikke Angi for å gå fremover eller SKIFT+ENTER for å gå bakover, eller du kan bruke opp og ned knappene ved siden av søkeboksen.

    Skjermbilde av en tabell som inneholder uthevede uttrykk fra søkeresultater.

Relatert innhold