Usar o operador de união
O operador de união reúne duas ou mais tabelas e retorna as linhas de todas elas. É essencial compreender como os resultados passam e sofrem impacto pelo caractere pipe.
Com base na janela de tempo definida no período de consulta:
A Consulta 1 retorna todas as linhas de SecurityEvent e todas as linhas de SigninLogs
A Consulta 2 retorna uma linha e coluna, que é a contagem de todas as linhas de SecurityEvent e todas as linhas de SigninLogs
A Consulta 3 retorna todas as linhas de SecurityEvent e uma linha para SigninLogs.
Execute cada consulta separadamente e veja os resultados.
// Query 1
SecurityEvent
| union SigninLogs
// Query 2
SecurityEvent
| union SigninLogs
| summarize count()
| project count_
// Query 3
SecurityEvent
| union (SigninLogs | summarize count()| project count_)
O operador de união dá suporte a caracteres curingas para unir várias tabelas. O KQL a seguir cria uma contagem das linhas em todas as tabelas com nomes que começam com "Segurança".
union Security*
| summarize count() by Type