Använda extend-operatorn
Extend-operatorn skapar beräknade kolumner och lägger till de nya kolumnerna i resultatuppsättningen.
I KQL-exemplet nedan används extend-operatorn för att skapa en ny kolumn, StartDir som innehåller katalogen som en process startades i. Kolumnen StartDir är en beräknad kolumn som innehåller resultatet av en delsträngsfunktion.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))