Usar os operadores project
Os operadores project controlam quais colunas devem ser incluídas, adicionadas, removidas ou renomeadas no conjunto de resultados de uma instrução.
Há vários tipos de operadores project. A tabela a seguir é uma lista das variações.
| Operador | Descrição |
|---|---|
| project | Selecione as colunas a serem incluídas, renomeadas ou removidas e insira novas colunas calculadas. |
| project-away | Selecione quais colunas da entrada devem ser excluídas da saída. |
| project-keep | Selecione quais colunas da entrada devem ser mantidas na saída. |
| project-rename | Selecione as colunas a ser renomeadas na saída resultante. |
| project-reorder | Defina a ordem da coluna na saída resultante. |
Operador de projeto
Selecione as colunas a serem incluídas, renomeadas ou removidas e insira novas colunas calculadas.
Dica
O operador project limita o tamanho do conjunto de resultados, o que aumenta o desempenho
Execute cada consulta separadamente para conferir os resultados.
SecurityEvent
| project Computer, Account
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project Process, StartDir
Operador fora do projeto
Selecione quais colunas da entrada devem ser excluídas da saída.
Este exemplo foi criado com base nos operadores anteriores extend e order by. O project-away remove a coluna desnecessária do conjunto de resultados. Neste exemplo, removeremos a coluna ProcessName.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project-away ProcessName