Instruções de expressão tabular
Aplica-se a: ✅Microsoft Fabric✅Azure Data Explorer✅Azure Monitor✅Microsoft Sentinel
A instrução de expressão tabular é o que as pessoas geralmente têm em mente quando falam sobre consultas. Essa instrução geralmente aparece em último lugar na lista de instruções, e tanto sua entrada quanto sua saída consistem em tabelas ou conjuntos de dados tabulares. Quaisquer duas instruções devem ser separadas por ponto-e-vírgula.
Uma instrução de expressão tabular é geralmente composta por fontes de dados tabulares como tabelas, operadores de dados tabulares como filtros e projeções, e operadores de renderização de opcionais. A composição é representada pelo caractere pipe (|), dando à instrução uma forma regular que representa visualmente o fluxo de dados tabulares da esquerda para a direita.
Cada operador aceita um conjunto de dados tabular "do tubo", e outras entradas, incluindo mais conjuntos de dados tabulares do corpo do operador, em seguida, emite um conjunto de dados tabular para o próximo operador que se segue.
Sintaxe
Source|Operator1|Operator2|RenderInstruction
Saiba mais sobre convenções de sintaxe.
Parâmetros
| Designação | Tipo | Necessário | Descrição |
|---|---|---|---|
| de origem | string |
✔️ | Uma fonte de dados tabular. Consulte Fontes de dados tabulares. |
| Operador | string |
✔️ | Operadores de dados tabulares, como filtros e projeções. |
| RenderInstruction | string |
Operadores de renderização ou instruções. |
Fontes de dados tabulares
Uma fonte de dados tabular produz conjuntos de registros, a serem processados posteriormente por operadores de dados tabulares. A lista a seguir mostra as fontes de dados tabulares suportadas:
- Referências de tabelas
- O operador de intervalo de tabular
- O operador de impressão
- Uma invocação de uma função que retorna uma tabela
- Uma tabela literal ("datatable")
Exemplos
No cluster de ajuda, há um banco de dados Samples com uma tabela StormEvents.
Filtrar linhas por condição
Esta consulta conta o número de registos na tabela StormEvents que têm um valor de "FLORIDA" na coluna State.
StormEvents
| where State == "FLORIDA"
| count
Output
| Contagem |
|---|
| 1042 |
Combinar dados de duas tabelas
Neste exemplo, o operador join é usado para combinar registros de duas fontes de dados tabulares: a tabela StormEvents e a tabela PopulationData.
StormEvents
| where InjuriesDirect + InjuriesIndirect > 50
| join (PopulationData) on State
| project State, Population, TotalInjuries = InjuriesDirect + InjuriesIndirect
Output
| Estado | População | Total de Lesões |
|---|---|---|
| ALABAMA | 4918690 | 60 |
| CALIFÓRNIA | 39562900 | 61 |
| KANSAS | 2915270 | 63 |
| MISSOURI | 6153230 | 422 |
| OKLAHOMA | 3973710 | 200 |
| TENNESSEE | 6886720 | 187 |
| TEXAS | 29363100 | 137 |