我有2个KQL查询,我想将它们组合以便将两个行显示为一个结果。不仅是第一个查询的结果,还有第二个查询的结果:
R_CL
| where isnotempty(SrcIP_s)
| project Message
| take 1;
R_CL
| where isempty(SrcIP_s)
| project Message
| take 1
请参见下面的示例 R_L 。我希望看到两行结果,第一行的SrcIP_s不为空,第二行的SrcIP_s为空(在这种情况下,它将始终是同一行)
let R_CL = datatable ( SrcIP_s:string, Message:string)
["1.1.1.1" ,"one",
"" ,"two",
"2.2.2.2","three",
"3.3.3.3","four"];
R_CL
| project SrcIP_s, Message
答案 0 :(得分:3)
对此的一个简单解决方案是使用联合运算符,如下所示:
let query1 = R_CL
| where isnotempty(SrcIP_s)
| project Message
| take 1;
let query2 = R_CL
| where isempty(SrcIP_s)
| project Message
| take 1;
query1
| union query2;
答案 1 :(得分:2)
使用union运算符会产生想要的结果吗?
https://docs.microsoft.com/en-us/azure/kusto/query/unionoperator