Utilizar o operador da União
O operador sindical pega duas ou mais tabelas e retorna as linhas de todas elas. Entender como os resultados são passados e impactados com o caráter do tubo é essencial.
Com base na janela de tempo definida na janela Consulta:
A Consulta 1 retorna todas as linhas de SecurityEvent e todas as linhas de SigninLogs
A Consulta 2 retorna uma linha e coluna, que é a contagem de todas as linhas de SecurityEvent e todas as linhas de SigninLogs
A consulta 3 retorna todas as linhas de SecurityEvent e uma linha para SigninLogs.
Execute cada consulta separadamente para ver os resultados.
// Query 1
SecurityEvent
| union SigninLogs
// Query 2
SecurityEvent
| union SigninLogs
| summarize count()
| project count_
// Query 3
SecurityEvent
| union (SigninLogs | summarize count()| project count_)
O operador union suporta curingas para unir várias tabelas. O KQL a seguir cria uma contagem para as linhas em todas as tabelas com nomes que começam com Segurança.
union Security*
| summarize count() by Type