使用 extend 運算子
extend 運算子會建立計算結果欄,並將新的資料行附加至結果集。
以下 KQL 範例使用 extend 運算子來建立新的資料行 StartDir,其中包含了某個流程啟動時所在的目錄。 StartDir 資料行是包含了 substring 函式結果的匯出資料行。
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))