Använda fackföreningsoperatorn
Union-operatorn tar två eller flera tabeller och returnerar raderna för dem alla. Det är viktigt att du förstår hur resultatet skickas och påverkas med pipe-tecknet.
Baserat på tidsfönstret som angetts i frågefönstret:
Fråga 1 returnerar alla rader i SecurityEvent och alla rader i SigninLogs
Fråga 2 returnerar en rad och kolumn, vilket är antalet rader i SecurityEvent och alla rader i SigninLogs
Fråga 3 returnerar alla rader i SecurityEvent och en rad för SigninLogs.
Kör varje fråga separat för att se resultatet.
// Query 1
SecurityEvent
| union SigninLogs
// Query 2
SecurityEvent
| union SigninLogs
| summarize count()
| project count_
// Query 3
SecurityEvent
| union (SigninLogs | summarize count()| project count_)
Union-operatorn stöder jokertecken för att koppla flera tabeller. Följande KQL skapar ett antal för raderna i alla tabeller med namn som börjar med Säkerhet.
union Security*
| summarize count() by Type