Usar o operador de união

Concluído

O operador de união reúne duas ou mais tabelas e retorna as linhas de todas elas. É essencial compreender como os resultados passam e sofrem impacto pelo caractere pipe.

Com base na janela de tempo definida no período de consulta:

  • A Consulta 1 retorna todas as linhas de SecurityEvent e todas as linhas de SigninLogs

  • A Consulta 2 retorna uma linha e coluna, que é a contagem de todas as linhas de SecurityEvent e todas as linhas de SigninLogs

  • A Consulta 3 retorna todas as linhas de SecurityEvent e uma linha para SigninLogs.

Execute cada consulta separadamente e veja os resultados.

// Query 1

SecurityEvent 
| union SigninLogs  

// Query 2

SecurityEvent 
| union SigninLogs  
| summarize count() 
| project count_

// Query 3

SecurityEvent 
| union (SigninLogs | summarize count()| project count_)

O operador de união dá suporte a caracteres curingas para unir várias tabelas. O KQL a seguir cria uma contagem das linhas em todas as tabelas com nomes que começam com "Segurança".

union Security* 
| summarize count() by Type