Я хочу создать функцию, которая позволяет мне передавать табличный результат запроса в качестве параметра без указания имен столбцов таблицы.
Вот что я хочу в результате:
let Func = (T) {
T
| where Source has_any ("value")
};
let EventVar = Event | where TimeGenerated > ago(30d);
Func (EventVar);
Вам не нужно указывать все столбцы в схеме табличных параметров, только те столбцы, которые вам нужно использовать внутри функции.
Например, вот как может выглядеть ваш запрос:
let CustomFunc = (T:(Source:string)) {
T | where Source has_any ("value")
};
let EventVar = Event | where TimeGenerated > ago(30d);
CustomFunc(EventVar);
Приведенный выше запрос выведет все столбцы из таблицы EventVar
, если ее строки соответствуют условию в вашей функции. Единственное требование состоит в том, чтобы в таблице EventVar
был столбец типа string
с именем Source
, а других столбцов может быть сколько угодно.
Также можно принять любую табличную схему, определив входной табличный параметр, например T:(*)
, но в этом случае вы не сможете ссылаться на какие-либо имена столбцов внутри функции. См. пример 4 на странице документации для справки.