Использование оператора UNION
Оператор union принимает несколько таблиц и возвращает строки из каждой. Важно иметь представление о том, как передаются результаты и как на них влияет символ вертикальной черты.
На основе временного интервала, установленного в окне запроса (Query):
Запрос 1 возвращает все строки SecurityEvent и все строки SigninLogs
Запрос 2 возвращает одну строку и столбец, который является числом всех строк SecurityEvent и всех строк SigninLogs
Запрос 3 возвращает все строки SecurityEvent и одну строку для SigninLogs.
Выполните каждый запрос отдельно, чтобы просмотреть результаты.
// Query 1
SecurityEvent
| union SigninLogs
// Query 2
SecurityEvent
| union SigninLogs
| summarize count()
| project count_
// Query 3
SecurityEvent
| union (SigninLogs | summarize count()| project count_)
Оператор Union поддерживает использование подстановочных знаков (wildcards) для объединения нескольких таблиц. Следующий KQL создает количество строк во всех таблицах с именами, начинающимися с security.
union Security*
| summarize count() by Type