使用 union 運算子
Union 運算子會取用兩個以上的資料表並傳回這些資料表中的資料列。 有必要瞭解結果是如何透過管道字元傳遞和受影響。
根據查詢視窗中設定的時間範圍:
查詢 1 會傳回 SecurityEvent 和 SigninLogs 的所有資料列
查詢 2 會傳回一個資料列和資料行,也就是 SecurityEvent 以及 SigninLogs 的所有資料列計數
查詢 3 會傳回 SecurityEvent 的所有資料列和 SigninLogs 的一個資料列。
分別執行每個查詢以查看結果。
// Query 1
SecurityEvent
| union SigninLogs
// Query 2
SecurityEvent
| union SigninLogs
| summarize count()
| project count_
// Query 3
SecurityEvent
| union (SigninLogs | summarize count()| project count_)
Union 運算子支援用於聯合多個資料表的萬用字元。 下列 KQL 會針對名稱以 Security 開頭的所有資料表,建立其中資料列的計數。
union Security*
| summarize count() by Type