take_any () (聚合函數)
適用於:✅Microsoft網狀架構✅Azure 數據✅總管 Azure 監視器✅Microsoft Sentinel
任意選擇摘要運算子中每個群組的一筆記錄,並針對每個這類記錄傳回一或多個表達式的值。
已被取代的別名: any()
注意
已被取代的版本會將前置詞新增 any_ 至匯總所 any() 傳回的數據行。
語法
take_any(expr_1 [, expr_2 ...])
take_any(*)
深入瞭解 語法慣例。
參數
| 姓名 | 類型 | 必要 | 描述 |
|---|---|---|---|
| expr_N | string |
✔️ | 用於選取記錄的表達式。 如果指定通配符值 (*) 來取代表達式,則會選取所有記錄。 |
傳回
聚合函數 take_any 會從 summarize 運算子的每個群組傳回針對每個選取之記錄所計算的運算式值。
如果提供 自 * 變數,函式的行為就如同表達式是摘要運算符的所有數據行,如果有任何的話,則為摘要運算符的輸入數據行。
備註
當您想要取得複合群組索引鍵每個值一個或多個數據行的範例值時,此函式很有用。
當函式提供單一數據行參考時,如果存在這類值,它會嘗試傳回非 Null/非空白值。
由於此函式的不確定本質,在運算子的單一應用程式中 summarize 多次使用此函式,不等於將這個函式單一時間與多個表達式搭配使用。 前者可能會讓每個應用程式選取不同的記錄,而後者則保證所有值都會透過單一記錄計算(每個相異群組)。
範例
顯示不確定狀態:
StormEvents
| summarize take_any(State)
輸出
| 州/省 |
|---|
| 大西洋南部 |
顯示隨機記錄的所有詳細資料:
StormEvents
| project StartTime, EpisodeId, State, EventType
| summarize take_any(*)
輸出
| StartTime | EpisodeId | 州/省 | EventType |
|---|---|---|---|
| 2007-09-29 08:11:00.0000000 | 11091 | 大西洋南部 | 沃特斯普特 |
針對從 'A' 開始的每個狀態顯示隨機記錄的所有詳細資料:
StormEvents
| where State startswith "A"
| project StartTime, EpisodeId, State, EventType
| summarize take_any(*) by State
輸出
| 州/省 | StartTime | EpisodeId | EventType |
|---|---|---|---|
| 阿拉斯加州 | 2007-02-01 00:00:00.0000000 | 1733 | 洪水 |
| 大西洋南部 | 2007-09-29 08:11:00.0000000 | 11091 | 沃特斯普特 |
| 大西洋北 | 2007-11-27 00:00:00.0000000 | 11523 | 海洋雷雨風 |
| 亞利桑那州 | 2007-12-01 10:40:00.0000000 | 11955 | 暴洪 |
| 美屬薩摩亞 | 2007-12-07 14:00:00.0000000 | 13183 | 暴洪 |
| 阿肯色州 | 2007-12-09 16:00:00.0000000 | 11319 | Lightning |
| 阿拉巴馬州 | 2007-12-15 18:00:00.0000000 | 12580 | 大雨 |