Używanie operatora rozszerzania
Operator rozszerzenia utworzy kolumny obliczeniowe i dołączy nowe kolumny do zestawu wyników.
Poniższy przykład KQL używa operatora rozszerzenia, aby utworzyć nową kolumnę StartDir zawierającą katalog, w ramach którego został uruchomiony proces. Kolumna StartDir to kolumna obliczeniowa zawierająca wyniki funkcji podciągów.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))