视图

适用于:✅Azure 数据资源管理器Azure MonitorMicrosoft Sentinel

视图是基于 Kusto 查询语言 (KQL) 查询的结果集的虚拟表。

与实际的表一样,视图通过行和列来整理数据,并参与涉及通配符表名解析的任务,例如“联合 *”和“搜索 *”方案。 但是,与实际的表不同的是,视图不会维护专用的数据存储。 相反,它们会动态表示查询的结果。

如何定义视图

视图通过用户定义的函数进行定义,这些函数有两种形式:查询定义的函数和存储的函数。 要成为视图,函数必须不接受任何参数,并生成表格表达式作为其输出。

要将查询定义的函数定义为视图,需在函数定义之前指定 view 关键字。 如需示例,请参阅查询定义的视图

要将存储的函数定义为视图,需在创建函数时将 view 属性设置为 true。 如需示例,请参阅存储的视图。 有关详细信息,请参阅 .create 函数命令

示例

查询定义的视图

以下查询定义了两个函数:T_viewT_notview。 查询结果表明,只有 T_view 在联合操作中被通配符引用解析。

let T_view = view () { print x=1 };
let T_notview = () { print x=2 };
union T*

存储的视图

以下查询定义了一个存储的视图。 此视图的行为类似于任何其他存储的函数,但可以参与通配符方案。

.create function 
    with (view=true, docstring='Simple demo view', folder='Demo')  
    MyView() { StormEvents | take 100 }