使用 project 運算子

已完成

Project 運算子可以控制要在陳述式的結果集中納入、新增、移除或重新命名哪些資料行。

Project 運算子有多個類型。 下列表格是類型清單。

運算子 描述
專案 選取要包含的資料行、重新命名或捨棄,然後插入新的計算資料行。
project-away 從輸入中選取要排除在輸出之外的資料行。
project-keep 從輸入中選取要包留在輸出中的資料行。
project-rename 在產生的輸出中選取要重新命名的資料行。
project-reorder 在產生的輸出中設定資料行順序。

Project 運算子

選取要包含的資料行、重新命名或捨棄,然後插入新的計算資料行。

提示

Project 運算子會限制結果集的大小,進而提高效能

分別執行每個查詢以查看結果。

SecurityEvent
| project Computer, Account


SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir =  substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project Process, StartDir

Project-away 運算子

從輸入中選取要排除在輸出之外的資料行。

這個範例是以先前的 extend 和 order by 運算子建立。 project-away 會從結果集中移除不必要的資料行。 此範例中會移除 ProcessName 資料行。

SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir =  substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc
| project-away ProcessName