Använda projektoperatorerna
Projektoperatorerna styr vilka kolumner som ska inkluderas, lägga till, ta bort eller byta namn på i resultatuppsättningen för en -instruktion.
Det finns flera typer av projektoperatorer. Följande tabell är en lista över variationerna.
| Operatör | beskrivning |
|---|---|
| projekt | Välj de kolumner som ska inkluderas, byt namn på eller släpp och infoga nya beräknade kolumner. |
| project-away | Välj vilka kolumner från indata som ska undantas från utdata. |
| project-keep | Välj vilka kolumner från indata som ska behållas i utdata. |
| project-rename | Välj de kolumner som du vill byta namn på i de resulterande utdata. |
| project-reorder | Ange kolumnordningen i de resulterande utdata. |
Projektoperator
Välj de kolumner som ska inkluderas, byt namn på eller släpp och infoga nya beräknade kolumner.
Dricks
Projektoperatorn begränsar storleken på resultatuppsättningen, vilket ökar prestandan
Kör varje fråga separat för att se resultatet.
SecurityEvent
| project Computer, Account
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project Process, StartDir
Project-away-operator
Välj vilka kolumner från indata som ska undantas från utdata.
Det här exemplet bygger på vår tidigare utökning och ordning efter operatorer. Project-away tar bort den onödiga kolumnen från resultatuppsättningen. I det här exemplet tar vi bort kolumnen ProcessName.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project-away ProcessName