Compartilhar via


Instrução TABULAR EXPRESSION

Aplica-se a: ✅Microsoft FabricAzure Data Explorer✅Azure MonitorMicrosoft Sentinel

A declaração de expressão tabular é o que as pessoas geralmente têm em mente quando falam sobre consultas. Essa instrução geralmente aparece por último na lista de instruções e sua entrada e saída consistem em tabelas ou conjuntos de dados tabulares. Duas instruções devem ser sempre separadas por ponto e vírgula.

Uma instrução de expressão tabular geralmente é composta de fontes de dados tabulares, como tabelas, operadores de dados tabulares, como filtros e projeções, e operadores de renderização opcionais. A composição é representada pelo caractere de barra vertical (|), dando à instrução uma forma regular que representa visualmente o fluxo de dados tabulares da esquerda para a direita. Cada operador aceita um conjunto de dados tabular "do pipe" e outras entradas, incluindo mais conjuntos de dados tabulares do corpo do operador e, em seguida, emite um conjunto de dados tabular para o próximo operador que se segue.

Sintaxe

Operador de origem1 | | Operador2 | RenderInstruction

Saiba mais sobre as convenções de sintaxe.

Parâmetros

Nome Digitar Obrigatória Descrição
Origem string ✔️ Uma fonte de dados tabular. Consulte Fontes de dados tabulares.
Operador string ✔️ Operadores de dados tabulares, como filtros e projeções.
Instrução de renderização string Operadores ou instruções de renderização.

Fontes de dados tabulares

Uma fonte de dados tabular produz conjuntos de registros, a serem processados posteriormente por operadores de dados tabulares. A lista a seguir mostra as fontes de dados tabulares com suporte:

  • Referências de tabela
  • O operador de intervalo tabular
  • O operador de impressão
  • Uma invocação de uma função que retorna uma tabela
  • Um literal de tabela ("datatable")

Exemplos

Filtrar linhas por condição

A consulta a StormEvents seguir conta o número de registros na tabela que têm um valor de "FLORIDA" na State coluna.

StormEvents 
| where State == "FLORIDA"
| count

Saída

Count
1042

Combinar dados de duas tabelas

No exemplo a seguir, o operador de junção é usado para combinar registros de duas fontes de dados tabulares: a StormEvents tabela e a PopulationData tabela.

StormEvents 
| where InjuriesDirect + InjuriesIndirect > 50
| join (PopulationData) on State
| project State, Population, TotalInjuries = InjuriesDirect + InjuriesIndirect

Saída

Estado População TotalLesões
ALABAMA 4918690 60
CALIFÓRNIA 39562900 61
KANSAS 2915270 63
MISSOURI 6153230 422
OKLAHOMA 3973710 200
TENNESSEE 6886720 187
TEXAS 29363100 137