extend 运算符

适用于:✅Azure 数据资源管理器Azure MonitorMicrosoft Sentinel

创建计算列并将其追加到结果集中。

语法

T | extend [ColumnName | (ColumnName[, ...]) =] Expression [, ...]

详细了解语法约定

参数

客户 类型​​ 必需 说明
T string ✔️ 要扩展的表格输入。
ColumnName string 要添加或更新的列的名称。
Expression string ✔️ 要对输入执行的计算。
  • 如果省略 ColumnName,则会自动生成 Expression 的输出列名。
  • 如果 Expression 返回多个列,则可在括号中指定列名列表。 然后,Expression 的输出列将被赋予指定的名称。 如果未指定列名列表,则 Expression 的所有具有所生成名称的输出列都将添加到输出中。

返回

输入表格结果集的副本,使得:

  1. 已存在于输入中的使用 extend 标记的列名会被删除,然后作为新的计算值进行追加。
  2. 输入中不存在的使用 extend 标记的列名将作为其新的计算值追加。

注意

extend 运算符会将新列添加到输入结果集中,该列没有索引。 在大多数情况下,如果将新列设置为与具有索引的现有表列完全相同,则 Kusto 可以自动使用现有索引。 但在某些复杂情况下,此传播并未完成。 在此类情况下,如果目标是重命名列,请改用 project-rename 运算符

示例

StormEvents
| project EndTime, StartTime
| extend Duration = EndTime - StartTime

下表仅显示前 10 个结果。 若要查看完整输出,请运行查询。

EndTime StartTime Duration
2007-01-01T00:00:00Z 2007-01-01T00:00:00Z 00:00:00
2007-01-01T00:25:00Z 2007-01-01T00:25:00Z 00:00:00
2007-01-01T02:24:00Z 2007-01-01T02:24:00Z 00:00:00
2007-01-01T03:45:00Z 2007-01-01T03:45:00Z 00:00:00
2007-01-01T04:35:00Z 2007-01-01T04:35:00Z 00:00:00
2007-01-01T04:37:00Z 2007-01-01T03:37:00Z 01:00:00
2007-01-01T05:00:00Z 2007-01-01T00:00:00Z 05:00:00
2007-01-01T05:00:00Z 2007-01-01T00:00:00Z 05:00:00
2007-01-01T06:00:00Z 2007-01-01T00:00:00Z 06:00:00
2007-01-01T06:00:00Z 2007-01-01T00:00:00Z 06:00:00