如何生成 KQL 查询

现在你已经熟悉查询语言的工作原理以及 KQL 的使用场景，接下来让我们探讨构建 KQL 查询的方式。

KQL 查询结构

KQL 查询是处理数据并返回结果的只读请求。该请求用纯文本形式表示，使用的数据流模型易于阅读、创作和自动执行。

不同的查询语言通常具有不同的结构。 KQL 根据数据的处理方式进行组织。每个 KQL 查询都以数据源开始。然后，数据通过条件传输进行处理、经过排序，再使用筛选器进一步缩减。

假设数据通过数据处理漏斗进行传输。数据漏斗的开头是表格输入。此数据通过管道进入下一行，并使用运算符进行筛选或操作。幸存数据通过管道进入后面一行，依此操作直至到达最终查询输出。此查询输出以表格格式返回。

显示如何通过数据处理漏斗处理数据的示意图。

可通过筛选器的形状看出，漏斗“顶部”的数据开始比底部数据的大小要大。通常在查询开始时执行移除最大数据量的步骤。这样，下面的操作员要处理的数据量较小，查询结果也会很快返回。事实上，KQL 的优点之一就是能够快速处理大量差异很大的数据。