union 연산자 사용
union 연산자는 두 개 이상의 테이블을 사용하며 모든 행을 반환합니다. 결과가 파이프 문자에 어떻게 전달되고 영향을 받는지 이해하는 것은 중요합니다.
쿼리 창에 설정된 시간대를 기준으로 합니다.
쿼리 1은 SecurityEvent의 모든 행과 SigninLogs의 모든 행을 반환합니다.
쿼리 2는 SecurityEvent의 모든 행과 SigninLogs의 모든 행의 수인 하나의 행과 열을 반환합니다.
쿼리 3은 SecurityEvent의 모든 행과 SigninLogs의 하나의 행을 반환합니다.
결과를 확인하려면 각 쿼리를 개별적으로 실행합니다.
// Query 1
SecurityEvent
| union SigninLogs
// Query 2
SecurityEvent
| union SigninLogs
| summarize count()
| project count_
// Query 3
SecurityEvent
| union (SigninLogs | summarize count()| project count_)
union 연산자는 여러 테이블을 통합하는 와일드카드를 지원합니다. 다음 KQL은 보안으로 시작하는 이름의 모든 테이블에서 행의 수를 생성합니다.
union Security*
| summarize count() by Type