参考文档的语法约定

适用于:✅Azure 数据资源管理器Azure MonitorMicrosoft Sentinel

本文概述 Kusto 查询语言 (KQL)管理命令参考文档遵循的语法约定。

语法约定

约定 说明
Block 要完全按照所示内容输入的字符串字面量。
斜体 在使用函数或命令时要为参数提供值。
【 】 表示括住的项是可选的。
( ) 表示至少需要一个括住的项。
|(竖线) 在方括号或圆括号内使用,表示可以指定由管道字符分隔的项之一。 在此形式中,管道等效于逻辑 OR 运算符。 在块 (|) 中时,管道是 KQL 查询语法的一部分。
, ...】 表示前面的参数可以重复多次(用逗号分隔)。
; 查询语句终止符。

示例

标量函数

此示例显示了 hash 函数的语法和示例用法,接下来解释了每个语法组成部分如何解译为示例用法。

语法

hash(source [, mod])

用法示例

hash("World")
  • 函数 hash 的名称,完全按照所示内容输入左括号。
  • “World”作为必需的 source 参数的自变量传递。
  • 没有为 mod 参数传递自变量,该参数是可选的,如方括号所示。
  • 完全按照所示内容输入右括号。

表格运算符

此示例显示了 sort 运算符的语法和示例用法,接下来解释了每个语法组成部分如何解译为示例用法。

语法

T | sort by column [asc | desc] [nulls first | nulls last] [, ...]

用法示例

StormEvents
| sort by State asc, StartTime desc
  • StormEvents 表作为自变量传递给必需的 T 参数。
  • 完全按照所示内容输入 | sort by。 在本例中,竖线字符是表格表达式语句语法的一部分,由块文本表示。 有关详细信息,请参阅什么是查询语句
  • State 列作为自变量传递给必需的 column 参数,该参数附带可选的 asc 标志。
  • 在逗号后面传递了另一个自变量集:附带可选 desc 标志的 StartTime 列。 [, ...] 语法表示可以传递更多自变量集,但它们不是必需的。

使用可选参数

若要为一个可选参数后面的另一个可选参数提供自变量,必须为前一个参数提供自变量。 之所以提出此要求,是因为自变量必须遵循语法中指定的顺序。 如果没有可为参数传递的特定值,请使用相同类型的空值。

顺序可选参数的示例

考虑 http_request 插件的语法:

evaluate http_request ( Uri [, RequestHeaders [, Options]] )

RequestHeaders 和 Options 是动态类型的可选参数。 若要为 Options 参数提供自变量,还必须为 RequestHeaders 参数提供自变量。 以下示例演示如何为第一个可选参数 RequestHeaders 提供空值,以便能够为第二个可选参数 Options 指定值。

evaluate http_request ( "https://contoso.com/", dynamic({}), dynamic({ EmployeeName: Nicole }) )