조인 연산자 사용
조인 연산자 두 테이블의 행을 병합하여 각 테이블에서 지정된 열의 값과 일치하는 항목을 찾는 방식으로 새 테이블을 생성합니다.
Syntax
LeftTable | 특성에 조인[JoinParameters](RightTable)
SecurityEvent
| where EventID == "4624"
| summarize LogOnCount=count() by EventID, Account
| project LogOnCount, Account
| join kind = inner (
SecurityEvent
| where EventID == "4634"
| summarize LogOffCount=count() by EventID, Account
| project LogOffCount, Account
) on Account
조인에서 지정된 첫 번째 테이블은 왼쪽 테이블로 간주됩니다. 조인 키워드 뒤의 테이블은 오른쪽 테이블입니다. 테이블의 열은 참조하는 테이블 열을 구분하기 위해 $left.Column 및 $right.Column이(가) 지정됩니다.
테이블을 조인할 때는 조인 특성을 사용하여 조인 동작을 결정합니다. 조인 특성에 따라 왼쪽과 오른쪽에 있는 레코드의 영향을 이해하는 것이 중요합니다. 아래 그림은 다른 데이터 세트에 일치하는 레코드가 있거나 없는 경우 어떤 레코드가 유지되는지 보여 줍니다. 오른쪽에 일치하는 레코드가 있는 경우 내부 조인은 왼쪽에 있는 레코드만 표시합니다. 오른쪽에는 왼쪽 레코드도 필요합니다.
| 조인 특성 | 출력 레코드 |
|---|---|
| kind=leftanti, kind=leftantisemi | 오른쪽에서 일치하는 항목이 없는 왼쪽의 모든 레코드를 반환합니다. |
| kind=rightanti, kind=rightantisemi | 왼쪽에서 일치하는 항목이 없는 오른쪽의 모든 레코드를 반환합니다. |
| kind unspecified, kind=innerunique | On 키의 각 값에 대해 왼쪽에 있는 한 행만 일치합니다. 출력은 오른쪽의 행과 이 행의 각 일치 항목에 대한 행을 포함하고 있습니다. |
| kind=leftsemi | 오른쪽에서 일치하는 항목이 있는 왼쪽의 모든 레코드를 반환합니다. |
| kind=rightsemi | 왼쪽에서 일치하는 항목이 있는 오른쪽의 모든 레코드를 반환합니다. |
| kind=inner | 왼쪽 및 오른쪽에서 일치하는 행의 모든 조합에 대한 하나의 행이 출력에 포함됩니다. |
| kind=leftouter(or kind=rightouter or kind=fullouter) | 일치하는 항목이 없는 경우에도 왼쪽 및 오른쪽의 모든 행에 대한 하나의 행이 포함됩니다. 일치하지 않는 출력 셀에는 null이 포함됩니다. |