fork 运算符

适用于：✅Azure 数据资源管理器✅Azure Monitor✅Microsoft Sentinel

并行运行多个 consumer 运算符。

语法

T|fork [name=](subquery) [name=](subquery) ...

详细了解语法约定。

参数

支持的查询运算符

• as
• count
• extend
• parse
• where
• take
• project
• project-away
• project-keep
• project-rename
• project-reorder
• summarize
• top
• top-nested
• sort
• mv-expand
• reduce

返回

多个结果表，每个子查询参数一个。

提示

• 在 fork 分支上，请使用 materialize 替换 join 或 union。 输入流通过具体化进行缓存，然后缓存的表达式可用于联接/联合腿。

• 将批处理与表格表达式语句的 materialize 一起使用，而不是使用 fork 运算符。

示例

以下示例返回两个具有未命名列的表。

StormEvents
| where State == "FLORIDA"
| fork
    ( where DeathsDirect + DeathsIndirect > 1)
    ( where InjuriesDirect + InjuriesIndirect > 1)

输出

此输出显示结果表的前几行和列。

命名子查询

在以下示例中，结果表名为“StormsWithDeaths”和“StormsWithInjuries”。

StormEvents
| where State == "FLORIDA"
| fork
    (where DeathsDirect + DeathsIndirect > 1 | as StormsWithDeaths)
    (where InjuriesDirect + InjuriesIndirect > 1 | as StormsWithInjuries)

StormEvents
| where State == "FLORIDA"
| fork
    StormsWithDeaths = (where DeathsDirect + DeathsIndirect > 1)
    StormsWithInjuries = (where InjuriesDirect + InjuriesIndirect > 1)

输出

此输出显示结果表的前几行和列。