operator find

Dotyczy: ✅Microsoft Fabric✅✅

Znajduje wiersze pasujące do predykatu w zestawie tabel.

Zakres operatora find może być również między bazami danych lub między klastrami.

find in (Table1, Table2, Table3) where Fruit=="apple"

find in (database('*').*) where Fruit == "apple"

find in (cluster('cluster_name').database('MyDB*').*) where Fruit == "apple"

Składnia

• find[ColumnName( Tables)] wherePredykate [project-smart | project ColumnName[:ColumnType, ... ] [,pack_all()]]

• find Predykat [project-smart | project ColumnName[:ColumnType, ... ] [,pack_all()]]

Dowiedz się więcej na temat konwencji składni.

Parametry

Nazwisko	Type	Wymagania	opis
Nazwakolumny	string		Domyślnie dane wyjściowe zawierają kolumnę o nazwie source_, której wartości wskazują, która tabela źródłowa przyczyniła się do każdego wiersza. W przypadku określenia parametru Nazwakolumny jest używana zamiast source_. Po dopasowaniu symboli wieloznacznych, jeśli zapytanie odwołuje się do tabel z więcej niż jednej bazy danych, łącznie z domyślną bazą danych, wartość tej kolumny ma nazwę tabeli kwalifikowaną z bazą danych. Podobnie klastra i kwalifikacje bazy danych znajdują się w wartości, jeśli odwołano się do więcej niż jednego klastra.
Predykat	bool	✔️	To wyrażenie logiczne jest obliczane dla każdego wiersza w każdej tabeli wejściowej. Aby uzyskać więcej informacji, zobacz szczegóły składni predykatu.
Tabele	string		Zero lub więcej odwołań do tabeli rozdzielanych przecinkami. Domyślnie find wyszukuje wszystkie tabele w bieżącej bazie danych. Możesz użyć: 1. Nazwa tabeli, na przykład Events 2. Wyrażenie zapytania, takie jak (Events | where id==42) 3. Zestaw tabel określonych z symbolem wieloznacznymi. Na przykład E* może utworzyć związek wszystkich tabel w bazie danych, których nazwy zaczynają się od E.
project-smart lub project	string		Jeśli nie zostanie określony, project-smart jest używany domyślnie. Aby uzyskać więcej informacji, zobacz szczegóły schematu wyjściowego.

Zwraca

Przekształcanie wierszy w tabeli [ ,, ...], dla których predykat to true. Wiersze są przekształcane zgodnie ze schematem danych wyjściowych.

Schemat danych wyjściowych

kolumna source_

Dane wyjściowe operatora find zawsze zawierają kolumnę source_ z nazwą tabeli źródłowej. Nazwę kolumny można zmienić przy użyciu parametru withsource .

kolumny wyników

Tabele źródłowe, które nie zawierają żadnej kolumny używanej przez ocenę predykatu, są filtrowane.

W przypadku używania project-smartkolumny wyświetlane w danych wyjściowych to:

• Kolumny, które są wyświetlane jawnie w predykacie.
• Kolumny wspólne dla wszystkich filtrowanych tabel.

Pozostałe kolumny są pakowane do torby właściwości i pojawiają się w dodatkowej kolumnie pack. Kolumna, do którego odwołuje się jawnie predykat i pojawia się w wielu tabelach z wieloma typami, ma inną kolumnę w schemacie wyników dla każdego takiego typu. Każda z nazw kolumn jest tworzona z oryginalnej nazwy i typu kolumny oddzielonej podkreśleniami.

W przypadku korzystania z kolumny ColumnNamepack_all()

• Tabela wyników zawiera kolumny określone na liście. Jeśli tabela źródłowa nie zawiera określonej kolumny, wartości w odpowiednich wierszach mają wartość null.
• Po określeniu ColumnType z Nazwakolumnyta kolumna w wyniku ma podany typ, a wartości są rzutowane do tego typu, jeśli jest to konieczne. Rzutowanie nie ma wpływu na typ kolumny podczas obliczania predykatu.
• Gdy pack_all() jest używana, wszystkie kolumny, w tym przewidywane kolumny, są pakowane do torby właściwości i pojawiają się w dodatkowej kolumnie, domyślnie "column1". W torbie właściwości nazwa kolumny źródłowej służy jako nazwa właściwości, a wartość kolumny służy jako wartość właściwości.

Składnia predykatu

Operator find obsługuje alternatywną składnię terminu * has i używa tylko terminu, wyszukuje termin we wszystkich kolumnach wejściowych.

Aby zapoznać się z podsumowaniem niektórych funkcji filtrowania, zobacz , gdzie operator.

Zagadnienia dotyczące

• Jeśli klauzula project odwołuje się do kolumny, która pojawia się w wielu tabelach i ma wiele typów, typ musi postępować zgodnie z tym odwołaniem do kolumny w klauzuli projektu
• Jeśli kolumna jest wyświetlana w wielu tabelach i ma wiele typów i project-smart jest używana, istnieje odpowiednia kolumna dla każdego typu w wyniku find, zgodnie z opisem w union
• W przypadku używania inteligentnego projektu zmiany w predykacie w zestawie tabel źródłowych lub w schemacie tabel mogą spowodować zmianę schematu wyjściowego. Jeśli wymagany jest stały schemat wyników, użyj projektu zamiast tego
• find zakres nie może zawierać funkcji. Aby uwzględnić funkcję w zakresie find, zdefiniuj instrukcję let za pomocą słowa kluczowego view.

Wskazówki dotyczące wydajności

• Używaj tabel w przeciwieństwie do wyrażeń tabelarycznych. Jeśli wyrażenie tabelaryczne, operator find powraca do union zapytania, które może spowodować obniżenie wydajności.
• Jeśli kolumna wyświetlana w wielu tabelach i ma wiele typów, jest częścią klauzuli projektu, preferuj dodanie typu ColumnType do klauzuli projektu w celu zmodyfikowania tabeli przed przekazaniem jej do findelementu .
• Dodaj filtry oparte na czasie do predykatu. Użyj wartości kolumny data/godzina lub ingestion_time().
• Wyszukaj w określonych kolumnach, a nie w wyszukiwaniu pełnotekstowym.
• Lepiej nie odwoływać się do kolumn, które pojawiają się w wielu tabelach i mają wiele typów. Jeśli predykat jest prawidłowy podczas rozpoznawania takich kolumn dla więcej niż jednego typu, zapytanie wraca do unii. Zobacz na przykład przykłady przypadków, w których find działa jakounii .

Przykłady

Przykłady w tym artykule używają publicznie dostępnych tabel, takich jak tabela StormEvents w przykładowej analizie pogody przykładowych danych.

Wyszukiwanie terminów we wszystkich tabelach

Zapytanie znajduje wszystkie wiersze ze wszystkich tabel w bieżącej bazie danych, w której każda kolumna zawiera słowo Hernandez. Wynikowe rekordy są przekształcane zgodnie ze schematem danych wyjściowych. Dane wyjściowe zawierają wiersze z Customers tabeli i SalesTable tabeli ContosoSales bazy danych.

Uruchamianie zapytania

find "Hernandez"

Wyjście

W tej tabeli przedstawiono pierwsze trzy wiersze danych wyjściowych.

źródło_	paczka_
Klientela	{"CityName":"Ballard","CompanyName":"NULL","ContinentName":"North America","CustomerKey":5023,"Education":"Partial High School","FirstName":"Devin","Gender":"M","LastName":"Hernandez","MaritalStatus":"S","Occupation":"Clerical","RegionCountryName":"United States","StateProvinceName":"Washington"}
Klientela	{"CityName":"Ballard","CompanyName":"NULL","ContinentName":"North America","CustomerKey":7814,"Education":"Partial College","FirstName":"Kristy","Gender":"F","LastName":"Hernandez","MaritalStatus":"S","Occupation":"Professional","RegionCountryName":"United States","StateProvinceName":"Washington"}
Klientela	{"CityName":"Ballard","CompanyName":"NULL","ContinentName":"North America","CustomerKey":7888,"Education":"Partial High School","FirstName":"Kari","Gender":"F","LastName":"Hernandez","MaritalStatus":"S","Occupation":"Clerical","RegionCountryName":"United States","StateProvinceName":"Washington"}
...	...

Wyszukiwanie terminów we wszystkich tabelach pasujących do wzorca nazwy

Zapytanie znajduje wszystkie wiersze ze wszystkich tabel w bieżącej bazie danych, których nazwa zaczyna się od C, i w której każda kolumna zawiera słowo Hernandez. Wynikowe rekordy są przekształcane zgodnie ze schematem danych wyjściowych. Teraz dane wyjściowe zawierają tylko rekordy z Customers tabeli.

Uruchamianie zapytania

find in (C*) where * has "Hernandez"

Wyjście

W tej tabeli przedstawiono pierwsze trzy wiersze danych wyjściowych.

źródło_	paczka_
KonferencjaSesje	{"conference":"Build 2021","sessionid":"CON-PRT103","session_title":"Roundtable: Advanced Kusto query language topics","session_type":"Roundtable","owner":"Avner Aharoni","uczestnicy":"Alexander Sloutsky, Tzvia Gitlin-Troyna","URL":"https://sessions.mybuild.microsoft.com/sessions/details/4d4887e9-f08d-4f88-99ac-41e5feb869e7","level":200,"session_location":"Online","starttime":"2021-05-26T08:30:00.00000Z","duration":60,"time_and_duration":"Środa, 26 maja\n8:30–9:30 GMT","kusto_affinity":"Focused"}
KonferencjaSesje	{"conference":"Ignite 2018","sessionid":"THR3115","session_title":"Azure Log Analytics: szczegółowe omówienie języka zapytań usługi Azure Kusto. ","session_type":"Theater","owner":"Jean Francois Berenguer","uczestnicy":"","URL":"https://myignite.techcommunity.microsoft.com/sessions/66329","level":300,"session_location":"","starttime":null,"duration":null,"time_and_duration":"","kusto_affinity":"Focused"}
KonferencjaSesje	{"conference":"Build 2021","sessionid":"CON-PRT103","session_title":"Roundtable: Advanced Kusto query language topics","session_type":"Roundtable","owner":"Avner Aharoni","uczestnicy":"Alexander Sloutsky, Tzvia Gitlin-Troyna","URL":"https://sessions.mybuild.microsoft.com/sessions/details/4d4887e9-f08d-4f88-99ac-41e5feb869e7","level":200,"session_location":"Online","starttime":"2021-05-26T08:30:00.00000Z","duration":60,"time_and_duration":"Środa, 26 maja\n8:30–9:30 GMT","kusto_affinity":"Focused"}
...	...

Wyszukiwanie terminów w klastrze

Zapytanie znajduje wszystkie wiersze ze wszystkich tabel we wszystkich bazach danych w klastrze, w którym dowolna kolumna zawiera wyraz Kusto. To zapytanie jest zapytaniem między bazami danych . Wynikowe rekordy są przekształcane zgodnie ze schematem danych wyjściowych.

Uruchamianie zapytania

find in (database('*').*) where * has "Kusto"

Wyjście

W tej tabeli przedstawiono pierwsze trzy wiersze danych wyjściowych.

źródło_	paczka_
database("Samples"). KonferencjaSesje	{"conference":"Build 2021","sessionid":"CON-PRT103","session_title":"Roundtable: Advanced Kusto query language topics","session_type":"Roundtable","owner":"Avner Aharoni","uczestnicy":"Alexander Sloutsky, Tzvia Gitlin-Troyna","URL":"https://sessions.mybuild.microsoft.com/sessions/details/4d4887e9-f08d-4f88-99ac-41e5feb869e7","level":200,"session_location":"Online","starttime":"2021-05-26T08:30:00.00000Z","duration":60,"time_and_duration":"Środa, 26 maja\n8:30–9:30 GMT","kusto_affinity":"Focused"}
database("Samples"). KonferencjaSesje	{"conference":"Ignite 2018","sessionid":"THR3115","session_title":"Azure Log Analytics: szczegółowe omówienie języka zapytań usługi Azure Kusto. ","session_type":"Theater","owner":"Jean Francois Berenguer","uczestnicy":"","URL":"https://myignite.techcommunity.microsoft.com/sessions/66329","level":300,"session_location":"","starttime":null,"duration":null,"time_and_duration":"","kusto_affinity":"Focused"}
database("Samples"). KonferencjaSesje	{"conference":"Build 2021","sessionid":"CON-PRT103","session_title":"Roundtable: Advanced Kusto query language topics","session_type":"Roundtable","owner":"Avner Aharoni","uczestnicy":"Alexander Sloutsky, Tzvia Gitlin-Troyna","URL":"https://sessions.mybuild.microsoft.com/sessions/details/4d4887e9-f08d-4f88-99ac-41e5feb869e7","level":200,"session_location":"Online","starttime":"2021-05-26T08:30:00.00000Z","duration":60,"time_and_duration":"Środa, 26 maja\n8:30–9:30 GMT","kusto_affinity":"Focused"}
...	...

Wyszukiwanie terminów pasujących do wzorca nazwy w klastrze

Zapytanie znajduje wszystkie wiersze ze wszystkich tabel, których nazwa zaczyna się od we wszystkich bazach danych, których nazwa zaczyna się K od B i w której każda kolumna zawiera słowo Kusto. Wynikowe rekordy są przekształcane zgodnie ze schematem danych wyjściowych.

Uruchamianie zapytania

find in (database("S*").C*) where * has "Kusto"

Wyjście

W tej tabeli przedstawiono pierwsze trzy wiersze danych wyjściowych.

źródło_	paczka_
KonferencjaSesje	{"conference":"Build 2021","sessionid":"CON-PRT103","session_title":"Roundtable: Advanced Kusto query language topics","session_type":"Roundtable","owner":"Avner Aharoni","uczestnicy":"Alexander Sloutsky, Tzvia Gitlin-Troyna","URL":"https://sessions.mybuild.microsoft.com/sessions/details/4d4887e9-f08d-4f88-99ac-41e5feb869e7","level":200,"session_location":"Online","starttime":"2021-05-26T08:30:00.00000Z","duration":60,"time_and_duration":"Środa, 26 maja\n8:30–9:30 GMT","kusto_affinity":"Focused"}
KonferencjaSesje	{"conference":"Build 2021","sessionid":"CON-PRT103","session_title":"Roundtable: Advanced Kusto query language topics","session_type":"Roundtable","owner":"Avner Aharoni","uczestnicy":"Alexander Sloutsky, Tzvia Gitlin-Troyna","URL":"https://sessions.mybuild.microsoft.com/sessions/details/4d4887e9-f08d-4f88-99ac-41e5feb869e7","level":200,"session_location":"Online","starttime":"2021-05-26T08:30:00.00000Z","duration":60,"time_and_duration":"Środa, 26 maja\n8:30–9:30 GMT","kusto_affinity":"Focused"}
KonferencjaSesje	{"conference":"Build 2021","sessionid":"CON-PRT103","session_title":"Roundtable: Advanced Kusto query language topics","session_type":"Roundtable","owner":"Avner Aharoni","uczestnicy":"Alexander Sloutsky, Tzvia Gitlin-Troyna","URL":"https://sessions.mybuild.microsoft.com/sessions/details/4d4887e9-f08d-4f88-99ac-41e5feb869e7","level":200,"session_location":"Online","starttime":"2021-05-26T08:30:00.00000Z","duration":60,"time_and_duration":"Środa, 26 maja\n8:30–9:30 GMT","kusto_affinity":"Focused"}
...	...

Wyszukiwanie terminów w kilku klastrach

Zapytanie znajduje wszystkie wiersze ze wszystkich tabel, których nazwa zaczyna się od we wszystkich bazach danych, których nazwa zaczyna się K od B i w której każda kolumna zawiera słowo Kusto. Wynikowe rekordy są przekształcane zgodnie ze schematem danych wyjściowych.

find in (cluster("cluster1").database("B*").K*, cluster("cluster2").database("C*".*))
where * has "Kusto"

Przykłady wyników wyjściowych find

W poniższych przykładach pokazano, jak find można używać w dwóch tabelach: EventsTable1 i EventsTable2. Załóżmy, że mamy następną zawartość tych dwóch tabel:

EventTable1

Session_Id	Poziom	EventText	Wersja
acbd207d-51aa-4df7-bfa7-be70eb68f04e	Informacja	Tekst1	v1.0.0
acbd207d-51aa-4df7-bfa7-be70eb68f04e	Błąd	Część tekstu2	v1.0.0
28b8e46e-3c31-43cf-83cb-48921c3986fc	Błąd	Tekst3	Wersja 1.0.1
8f057b11-3281-45c3-a856-05ebb18a3c59	Informacja	Tekst4	wersja 1.1.0

EventTable2

Session_Id	Poziom	EventText	EventName
f7d5f95f-f580-4ea6-830b-5776c8d64fdd	Informacja	Inny tekst1	Zdarzenie1
acbd207d-51aa-4df7-bfa7-be70eb68f04e	Informacja	Inny tekst2	Zdarzenie 2
acbd207d-51aa-4df7-bfa7-be70eb68f04e	Błąd	Inny tekst3	Zdarzenie 3
15eaeab5-8576-4b58-8fc6-478f75d8fee4	Błąd	Inny tekst4	Zdarzenie4

Wyszukiwanie w typowych kolumnach, typowych projektach i nietypowych kolumnach oraz pakowanie pozostałych kolumn

Zapytanie wyszukuje określone rekordy w EventsTable1 i EventsTable2 na podstawie danego Session_Id i poziomu Błędu. Następnie projektuje trzy określone kolumny: EventText, Versioni EventNamei pakuje wszystkie pozostałe kolumny do obiektu dynamicznego.

find in (EventsTable1, EventsTable2) 
     where Session_Id == 'acbd207d-51aa-4df7-bfa7-be70eb68f04e' and Level == 'Error' 
     project EventText, Version, EventName, pack_all()

Wyjście

źródło_	EventText	Wersja	EventName	paczka_
EventTable1	Część tekstu2	v1.0.0		{"Session_Id":"acbd207d-51aa-4df7-bfa7-be70eb68f04e", "Level":"Error"}
EventTable2	Inny tekst3		Zdarzenie 3	{"Session_Id":"acbd207d-51aa-4df7-bfa7-be70eb68f04e", "Level":"Error"}

Wyszukiwanie w typowych i nietypowych kolumnach

Zapytanie wyszukuje rekordy, które mają Version jako "v1.0.0" lub EventName jako "Event1", a następnie projektuje cztery określone kolumny: Session_Id, EventText, Versioni EventName z tych filtrowanych wyników.

find Version == 'v1.0.0' or EventName == 'Event1' project Session_Id, EventText, Version, EventName

Wyjście

źródło_	Session_Id	EventText	Wersja	EventName
EventTable1	acbd207d-51aa-4df7-bfa7-be70eb68f04e	Tekst1	v1.0.0
EventTable1	acbd207d-51aa-4df7-bfa7-be70eb68f04e	Część tekstu2	v1.0.0
EventTable2	f7d5f95f-f580-4ea6-830b-5776c8d64fdd	Inny tekst1		Zdarzenie1

Uwaga

W praktyce wiersze EventsTable1 są filtrowane przy użyciu predykatu Version == 'v1.0.0', a wiersze EventsTable2 są filtrowane przy użyciu predykatu EventName == 'Event1'.

Użyj notacji skróconej do wyszukiwania we wszystkich tabelach w bieżącej bazie danych

To zapytanie wyszukuje w bazie danych wszystkie rekordy z Session_Id zgodnym z parametrem "acbd207d-51aa-4df7-bfa7-be70eb68f04e". Pobiera rekordy ze wszystkich tabel i kolumn zawierających tę konkretną Session_Id.

find Session_Id == 'acbd207d-51aa-4df7-bfa7-be70eb68f04e'

Wyjście

źródło_	Session_Id	Poziom	EventText	paczka_
EventTable1	acbd207d-51aa-4df7-bfa7-be70eb68f04e	Informacja	Tekst1	{"Version":"v1.0.0"}
EventTable1	acbd207d-51aa-4df7-bfa7-be70eb68f04e	Błąd	Część tekstu2	{"Version":"v1.0.0"}
EventTable2	acbd207d-51aa-4df7-bfa7-be70eb68f04e	Informacja	Inny tekst2	{"EventName":"Event2"}
EventTable2	acbd207d-51aa-4df7-bfa7-be70eb68f04e	Błąd	Inny tekst3	{"EventName":"Event3"}

Zwracanie wyników z każdego wiersza jako torby właściwości

To zapytanie wyszukuje w bazie danych rekordy z określonym Session_Id i zwraca wszystkie kolumny tych rekordów jako pojedynczy obiekt dynamiczny.

find Session_Id == 'acbd207d-51aa-4df7-bfa7-be70eb68f04e' project pack_all()

Wyjście

źródło_	paczka_
EventTable1	{"Session_Id":"acbd207d-51aa-4df7-bfa7-be70eb68f04e", "Level":"Information", "EventText":"Some Text1", "Version":"v1.0.0"}
EventTable1	{"Session_Id":"acbd207d-51aa-4df7-bfa7-be70eb68f04e", "Level":"Error", "EventText":"Some Text2", "Version":"v1.0.0"}
EventTable2	{"Session_Id":"acbd207d-51aa-4df7-bfa7-be70eb68f04e", "Level":"Information", "EventText":"Some Other Text2", "EventName":"Event2"}
EventTable2	{"Session_Id":"acbd207d-51aa-4df7-bfa7-be70eb68f04e", "Level":"Error", "EventText":"Some Other Text3", "EventName":"Event3"}

Przykłady przypadków, w których find działa jako union

Operator find w usłudze Kusto może czasami działać jak operator union, głównie wtedy, gdy jest używany do wyszukiwania w wielu tabelach.

Używanie wyrażenia nietabularnego jako znajdowania operandu

Zapytanie najpierw tworzy widok, który filtruje EventsTable1 tylko w celu uwzględnienia rekordów na poziomie błędu. Następnie wyszukuje je w tym filtrowanych widokach i tabeli EventsTable2 dla rekordów z określonym Session_Id.

let PartialEventsTable1 = view() { EventsTable1 | where Level == 'Error' };
find in (PartialEventsTable1, EventsTable2) 
     where Session_Id == 'acbd207d-51aa-4df7-bfa7-be70eb68f04e'

Odwoływanie się do kolumny, która jest wyświetlana w wielu tabelach i ma wiele typów

W tym przykładzie utwórz dwie tabele, uruchamiając polecenie:

.create tables 
  Table1 (Level:string, Timestamp:datetime, ProcessId:string),
  Table2 (Level:string, Timestamp:datetime, ProcessId:int64)

• Następujące zapytanie jest wykonywane jako union.

find in (Table1, Table2) where ProcessId == 1001

Schemat wyniku wyjściowego jest (Level:string, Timestamp, ProcessId_string, ProcessId_int).

• Następujące zapytanie jest wykonywane jako union, ale generuje inny schemat wyników.

find in (Table1, Table2) where ProcessId == 1001 project Level, Timestamp, ProcessId:string 

Schemat wyniku wyjściowego jest (Level:string, Timestamp, ProcessId_string)