Używanie operatora unii
Operator unii przyjmuje co najmniej dwie tabele i zwraca wiersze wszystkich z nich. Zrozumienie sposobu przekazywania wyników i wpływania na znak potoku jest niezbędne.
Na podstawie przedziału czasu ustawionego w oknie Zapytanie:
Zapytanie 1 zwraca wszystkie wiersze elementu SecurityEvent i wszystkie wiersze loginLogs
Zapytanie 2 zwraca jeden wiersz i kolumnę, czyli liczbę wszystkich wierszy elementu SecurityEvent i wszystkich wierszy loginLogs
Zapytanie 3 zwraca wszystkie wiersze elementu SecurityEvent i jeden wiersz dla loginLogs.
Uruchom każde zapytanie oddzielnie, aby wyświetlić wyniki.
// Query 1
SecurityEvent
| union SigninLogs
// Query 2
SecurityEvent
| union SigninLogs
| summarize count()
| project count_
// Query 3
SecurityEvent
| union (SigninLogs | summarize count()| project count_)
Operator unii obsługuje symbole wieloznaczne w celu połączenia wielu tabel. Poniższy język KQL tworzy liczbę wierszy we wszystkich tabelach z nazwami rozpoczynającymi się od zabezpieczeń.
union Security*
| summarize count() by Type