使用 project 運算子
Project 運算子可以控制要在陳述式的結果集中納入、新增、移除或重新命名哪些資料行。
Project 運算子有多個類型。 下列表格是類型清單。
運算子 | 描述 |
---|---|
專案 | 選取要包含的資料行、重新命名或捨棄,然後插入新的計算資料行。 |
project-away | 從輸入中選取要排除在輸出之外的資料行。 |
project-keep | 從輸入中選取要包留在輸出中的資料行。 |
project-rename | 在產生的輸出中選取要重新命名的資料行。 |
project-reorder | 在產生的輸出中設定資料行順序。 |
Project 運算子
選取要包含的資料行、重新命名或捨棄,然後插入新的計算資料行。
提示
Project 運算子會限制結果集的大小,進而提高效能
分別執行每個查詢以查看結果。
SecurityEvent
| project Computer, Account
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project Process, StartDir
Project-away 運算子
從輸入中選取要排除在輸出之外的資料行。
這個範例是以先前的 extend 和 order by 運算子建立。 project-away 會從結果集中移除不必要的資料行。 此範例中會移除 ProcessName 資料行。
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project-away ProcessName