Where
検索条件に一致するフィールドを抜き出す。
| where <検索条件>
例:Backupジョブが失敗したレコードを取り出す
AddonAzureBackupJobs
| where JobOperation==“Backup”
| where JobStatus==“Failed”
project
表示するフィールドを指定する
| project <フィールド名>
例1:Azurebackupの「ジョブステータス」フィールドのみ表示
AddonAzureBackupJobs
| project JobStatus
例2: 複数指定するときはコンマ区切り
AddonAzureBackupJobs
| project JobStatus, JobUniqueId
project-away
表示しないフィールドを指定する。
| project-away <フィールド>
例1:Azurebackupの「TenantId」フィールドは表示しない
AddonAzureBackupJobs
| project-away TenantId
例2: 複数指定するときはコンマ区切り
AddonAzureBackupJobs
| project-away TenantId, Category
project-rename
フィールド名を変更する
| project-rename <変更後のフィールド名>=<現在のフィールド名>
例: フィールド名を「JobFailureCode」を 「FailureCode」に変換する
| project-rename FailureCode=JobFailureCode
変数にフィールド名を入れてて表示する
| project AAA=<フィールド名>
例: フィールド名「JobFailureCode」を変数「AAA」に代入して表示する
AddonAzureBackupJobs
| project AAAA=(JobFailureCode)
タイムゾーンを日本時間に変換して表示する
| project <変数>=<フィールド名+9h>
例: 「TimeGenerated」フィールドをUTCから日本時間に変換して表示する
AddonAzureBackupJobs
| project TimeGeneratedJST = (TimeGenerated+9h)
フィールドの値から任意の項目を取り出して表示する
| project <変数名> = split(<フィールド名> , “<区切り文字>”, <位置番号>)
例: 「ResourceId」フィールドの値から、「/」で区切られた4番目の項目を取り出して、「RESOURCEGROUP」変数に代入し、表示する。
AddonAzureBackupJobs
| project RESOURCEGROUP = split(ResourceId , “/”, 4)
任意の値を含むレコードを表示する
AddonAzureBackupJobs
| search “<キーワード>”
例1: 値に「failed」を含むレコードを表示する
AddonAzureBackupJobs
| search “failed”
例2: 結果がうまく表示できない場合は正規表現で!!
AddonAzureBackupJobs
| search “*dev*”
コメント