Udostępnij za pośrednictwem


Dostosowywanie wyników w siatce wyników zestawu zapytań KQL

Użyj siatki wyników w zestawie zapytań KQL, aby dostosować wyniki i przeprowadzić dalszą analizę danych. W tym artykule opisano akcje, które można wykonać w siatce wyników po uruchomieniu zapytania.

Wymagania wstępne

Rozwijanie komórki

Rozszerzanie komórek jest przydatne do wyświetlania długich ciągów lub pól dynamicznych, takich jak JSON.

  1. Kliknij dwukrotnie komórkę, aby otworzyć widok rozwinięty. Ten widok umożliwia odczytywanie długich ciągów i zapewnia formatowanie JSON dla danych dynamicznych.

    Zrzut ekranu przedstawiający zestaw zapytań KQL przedstawiający wyniki zapytania z rozszerzoną komórką w celu wyświetlenia długich ciągów. Rozwinięta komórka jest wyróżniona.

  2. Wybierz ikonę w prawym górnym rogu siatki wyników, aby przełączyć tryby okienka odczytu. Wybierz między następującymi trybami okienka odczytu dla widoku rozwiniętego: wbudowane, poniżej okienka i okienko po prawej stronie.

    Zrzut ekranu przedstawiający okienko wyników zestawu zapytań KQL z opcją zmiany trybu wyświetlania okienka wyników zapytania.

Rozwijanie wiersza

Podczas pracy z tabelą z wieloma kolumnami rozwiń cały wiersz, aby łatwo zobaczyć przegląd różnych kolumn i ich zawartości.

  1. Kliknij strzałkę > z lewej strony wiersza, który chcesz rozwinąć.

    Zrzut ekranu przedstawiający okienko wyników zestawu zapytań KQL z rozwiniętym wierszem.

  2. W rozwiniętym wierszu niektóre kolumny są rozwinięte (strzałka skierowana w dół), a niektóre kolumny są zwinięte (strzałka wskazująca w prawo). Kliknij te strzałki, aby przełączać się między tymi dwoma trybami.

Grupuj kolumnę według wyników

W wynikach można grupować wyniki według dowolnej kolumny.

  1. Uruchom poniższe zapytanie:

    StormEvents
    | sort by StartTime desc
    | take 10
    
  2. Umieść kursor na kolumnie State (Stan ), wybierz menu i wybierz pozycję Grupuj według stanu.

    Zrzut ekranu przedstawiający okienko wyników zestawu zapytań KQL z menu kolumny o nazwie State (Stan). Opcja menu grupowania według stanu jest wyróżniona.

  3. W siatce kliknij dwukrotnie Kalifornię , aby rozwinąć i wyświetlić rekordy dla tego stanu. Ten typ grupowania może być przydatny podczas wykonywania analizy eksploracyjnej.

    Zrzut ekranu przedstawiający siatkę wyników zapytania z grupą Kalifornii rozwiniętą w zestawie zapytań KQL.

  4. Umieść kursor na kolumnie Grupa, a następnie wybierz pozycję Resetuj kolumny/Rozgrupuj według <nazwy> kolumny. To ustawienie zwraca siatkę do pierwotnego stanu.

    Zrzut ekranu przedstawiający ustawienie resetuj kolumny wyróżnione na liście rozwijanej kolumny.

Ukryj puste kolumny

Możesz ukryć/pokazać puste kolumny, przełączając ikonę oka w menu siatki wyników.

Zrzut ekranu przedstawiający okienko wyników zestawu zapytań KQL. Ikona oka do ukrycia i wyświetlenia pustych kolumn w okienku wyników jest wyróżniona.

Kolumny filtru

Do filtrowania wyników kolumny można użyć co najmniej jednego operatora.

  1. Aby filtrować określoną kolumnę, wybierz menu dla tej kolumny.

  2. Wybierz ikonę filtru.

  3. W konstruktorze filtru wybierz żądany operator.

  4. Wpisz wyrażenie, na którym chcesz filtrować kolumnę. Wyniki są filtrowane podczas wpisywania.

    Uwaga

    Filtr nie uwzględnia wielkości liter.

  5. Aby utworzyć filtr wielo warunkowy, wybierz operator logiczny, aby dodać inny warunek

  6. Aby usunąć filtr, usuń tekst z pierwszego warunku filtru.

Uruchamianie statystyk komórek

  1. Uruchom poniższe zapytanie.

    StormEvents
    | sort by StartTime desc
    | where DamageProperty > 5000
    | project StartTime, State, EventType, DamageProperty, Source
    | take 10
    
  2. W okienku wyników wybierz kilka komórek liczbowych. Siatka tabeli umożliwia wybieranie wielu wierszy, kolumn i komórek oraz obliczanie na nich agregacji. Następujące funkcje są obsługiwane dla wartości liczbowych: Average, Count, Min, Max i Sum.

    Zrzut ekranu przedstawiający okienko wyników zapytania KQL z kilkoma wybranymi komórkami liczbowymi. Wynik zaznaczenia pokazuje obliczoną agregację tych komórek.

Filtrowanie do zapytania z siatki

Innym łatwym sposobem filtrowania siatki jest dodanie operatora filtru do zapytania bezpośrednio z siatki.

  1. Wybierz komórkę z zawartością, dla której chcesz utworzyć filtr zapytania.

  2. Kliknij prawym przyciskiem myszy, aby otworzyć menu akcji komórek. Wybierz pozycję Dodaj wybór jako filtr.

    Zrzut ekranu przedstawiający listę rozwijaną z opcją Dodaj zaznaczenie jako filtr do wykonywania zapytań bezpośrednio z siatki.

  3. Klauzula zapytania zostanie dodana do zapytania w edytorze zapytań:

    Zrzut ekranu edytora zapytań przedstawiający klauzulę zapytania dodaną z filtrowania w siatce w zestawie zapytań KQL.

Pivot

Funkcja trybu przestawnego jest podobna do tabeli przestawnej programu Excel, umożliwiając zaawansowaną analizę w samej siatce.

Przestawne umożliwia użycie wartości kolumny i przekształcenie ich w kolumny. Możesz na przykład przestawienia kolumn na Stan, aby tworzyć kolumny dla Florydy, Missouri, Alabama itd.

  1. Po prawej stronie siatki wybierz pozycję Kolumny , aby wyświetlić panel narzędzi tabeli.

    Zrzut ekranu przedstawiający sposób uzyskiwania dostępu do funkcji trybu przestawnego.

  2. Wybierz pozycję Tryb przestawny, a następnie przeciągnij kolumny w następujący sposób: EventType do grup wierszy; DamageProperty to Values ( Wartości) i State to Column labels (Etykiety kolumn).

    Zrzut ekranu przedstawiający wyróżnione nazwy wybranych kolumn w celu utworzenia tabeli przestawnej.

    Wynik powinien wyglądać podobnie do poniższej tabeli przestawnej:

    Zrzut ekranu przedstawiający wyniki w tabeli przestawnej.

Wyszukiwanie w siatce wyników

Możesz wyszukać określone wyrażenie w tabeli wyników.

  1. Uruchom poniższe zapytanie:

    StormEvents
    | where DamageProperty > 5000
    | take 1000
    
  2. Wybierz przycisk Wyszukaj po prawej stronie i wpisz ciąg "Wabash"

    Zrzut ekranu przedstawiający okienko wyników zapytania z wyróżnioną opcją wyszukiwania w tabeli.

  3. Wszystkie wzmianki o wyszukiwanym wyrażeniu są teraz wyróżnione w tabeli. Możesz przechodzić między nimi, klikając klawisz Enter , aby przejść do przodu lub Shift+Enter , aby przejść do tyłu, lub użyć przycisków w górę i w dół obok pola wyszukiwania.

    Zrzut ekranu przedstawiający tabelę zawierającą wyróżnione wyrażenia z wyników wyszukiwania.