Använda kopplingsoperatorn

  • 7 minuter

Kopplingsoperatorn sammanfogar raderna i två tabeller för att bilda en ny tabell genom att matcha de angivna kolumnernas värden från varje tabell.

Syntax

LeftTable | join [JoinParameters] ( RightTable ) på attribut

SecurityEvent 
| where EventID == "4624" 
| summarize LogOnCount=count() by EventID, Account 
| project LogOnCount, Account 
| join kind = inner (
     SecurityEvent 
     | where EventID == "4634" 
     | summarize LogOffCount=count() by EventID, Account 
     | project LogOffCount, Account 
) on Account

Den första tabellen som anges i kopplingen betraktas som tabellen Vänster. Tabellen efter nyckelordet join är rätt tabell. Kolumnerna från tabellerna är avsedda, $left.Column och $right.Column för att skilja vilka tabellkolumner du refererar till.

När du ansluter tabeller använder du Join-smaker för att fastställa kopplingsbeteendet. Det är viktigt att förstå effekten av poster till vänster och höger baserat på kopplingssmaken. Bilden nedan visar vilka poster som ska sparas om det finns eller inte är en matchande post i den andra datauppsättningen. Den inre kopplingen visar endast poster från vänster sida om det finns en matchande post till höger. Den högra sidan kräver också en post på vänster sida.

Diagram of Example join types, showing where how joins work.

Join Flavor Utdataposter
kind=leftanti, kind=leftantisemi Returnerar alla poster från vänster sida som inte har matchningar från höger
kind=rightanti, kind=rightantisemi Returnerar alla poster från höger sida som inte har matchningar från vänster.
kind unspecified, kind=innerunique Endast en rad från vänster sida matchas för varje värde för på-nyckeln. Utdata innehåller en rad för varje matchning av den här raden med rader från höger
kind=leftsemi Returnerar alla poster från vänster sida som har matchningar från höger.
kind=rightsemi Returnerar alla poster från höger sida som har matchningar från vänster.
kind=inner Innehåller en rad i utdata för varje kombination av matchande rader från vänster och höger.
kind=leftouter (or kind=rightouter or kind=fullouter) Innehåller en rad för varje rad till vänster och höger, även om den inte har någon matchning. De omatchade utdatacellerna innehåller null-värden.