在 KQL 查询集结果网格中自定义结果
使用 KQL 查询集中的结果网格自定义结果并进一步分析数据。 本文介绍运行查询后可在结果网格中执行的操作。
先决条件
展开单元
展开单元有助于查看长字符串或 JSON 等动态字段。
双击某个单元格以打开展开的视图。 通过此视图可读取长字符串,并为动态数据提供 JSON 格式设置。
选择结果网格右上方的图标以切换阅读窗格模式。 可为展开的视图选择以下阅读窗格模式:内联、下窗格和右窗格。
展开行
当处理包含多个列的表时,展开整行可以轻松概览不同列及其内容。
单击要展开的行左侧的箭头 >。
在展开的行中,某些列处于展开状态(向下箭头),某些列处于折叠状态(向右箭头)。 单击这些箭头可以在这两种模式之间切换。
按结果归组为列
在结果中,可以按任何列对结果进行分组。
运行以下查询:
StormEvents | sort by StartTime desc | take 10将光标悬停在“州”列上,选择菜单,然后选择“按州分组”。
在网格中,双击“加利福尼亚州”,展开并查看该州的记录。 进行探索性分析时,此类型的分组可能会有所帮助。
将光标悬停在“组”列上,然后选择“重置列”/“按<列名称>取消分组”。 此设置将网格返回到其原始状态。
隐藏空列
通过在结果网格菜单上切换眼睛图标可以隐藏/显示隐藏空列。
筛选列
可以使用一个或多个运算符来筛选某个列的结果。
若要筛选特定列,请选择该列的菜单。
选择“筛选”图标。
在筛选器生成器中,选择所需的运算符。
键入要用于筛选列的表达式。 键入时就会对结果进行筛选。
注意
筛选器不区分大小写。
若要创建多条件筛选器,请选择一个布尔运算符来添加另一个条件
若要删除筛选器,请删除第一个筛选条件中的文本。
运行单元格统计信息
运行以下查询。
StormEvents | sort by StartTime desc | where DamageProperty > 5000 | project StartTime, State, EventType, DamageProperty, Source | take 10在结果窗格中,选择一些数值单元格。 使用表网格,你可以选择多个行、列和单元格,并计算它们的聚合。 以下函数当前支持数值:Average、Count、Min、Max 和 Sum。
从网格向查询添加筛选器
筛选网格的另一种简单方法是直接从网格向查询添加筛选器运算符。
选择其中包含要为其创建查询筛选器的内容的单元格。
右键单击以打开“单元格操作”菜单。 选择“将选定内容添加为筛选器”。
将在查询编辑器中向查询添加一个查询子句:
透视
透视模式功能类似于 Excel 的数据透视表,可用于在网格中执行高级分析。
通过透视可以获取列值并将其转换为列。 例如,可以对“州”进行透视,为“佛罗里达州”、“密苏里州”、“阿拉巴马州”等创建列。
在网格的右侧,选择“列”以查看表工具面板。
选择“透视模式”,然后按以下方式拖动列:将“EventType”拖动到“行组”;将“DamageProperty”拖动到“值”,并将“State”拖动到“列标签” 。
结果应如以下数据透视表所示:
在结果网格中搜索
你可以在结果表中查找特定表达式。
运行以下查询:
StormEvents | where DamageProperty > 5000 | take 1000选择右侧的“搜索”按钮,然后键入“Wabash”
所有提到的搜索表达式现在都在表中突出显示。 可以通过单击 Enter 向前移动或按 Shift + Enter 向后移动来在它们之间导航,也可以使用搜索框旁边的向上和向下按钮进行导航 。
