De samenvoegoperator gebruiken
De samenvoegoperator neemt twee of meer tabellen en retourneert de rijen van alle tabellen. Begrijpen hoe resultaten worden doorgegeven en beïnvloed met het pipe-teken, is essentieel.
Op basis van het tijdvenster dat is ingesteld in het queryvenster:
Query 1 retourneert alle rijen van SecurityEvent en alle rijen van SigninLogs
Query 2 retourneert één rij en kolom. Dit is het aantal rijen van SecurityEvent en alle rijen van SigninLogs
Query 3 retourneert alle rijen van SecurityEvent en één rij voor SigninLogs.
Voer elke query afzonderlijk uit om de resultaten te bekijken.
// Query 1
SecurityEvent
| union SigninLogs
// Query 2
SecurityEvent
| union SigninLogs
| summarize count()
| project count_
// Query 3
SecurityEvent
| union (SigninLogs | summarize count()| project count_)
De union-operator ondersteunt jokertekens voor het samenvoegen van meerdere tabellen. Met de volgende KQL wordt een telling gemaakt voor de rijen in alle tabellen met namen die beginnen met Beveiliging.
union Security*
| summarize count() by Type