在 Kusto Query Language (KQL) 中表示 Windows 文件路径时,需要特别注意路径分隔符和转义字符。Windows 文件系统通常使用反斜杠 \
作为路径分隔符,但在 KQL 查询中,反斜杠是一个特殊字符,用作转义字符。因此,当你在 KQL 查询中写入 Windows 路径时,你需要使用双反斜杠 \\
来表示一个普通的反斜杠。
例如,如果你想查询与特定文件路径相关的事件,你可以这样写:
TableName
| where FilePath == "C:\\Program Files\\Example\\example.exe"
在这个例子中,C:\\Program Files\\Example\\example.exe
表示 Windows 的文件路径 C:\Program Files\Example\example.exe
。双反斜杠 \\
用来确保路径中的反斜杠被正确解释。
还有一种方法是使用原始字符串(raw string),这样就不需要转义反斜杠。在 KQL 中,你可以通过在字符串前添加 @
符号来创建原始字符串。例如:
TableName
| where FilePath == @"C:\Program Files\Example\example.exe"
在这个例子中,@"C:\Program Files\Example\example.exe"
将被解释为原始字符串,其中的单个反斜杠不会被当作转义字符。这种方法可以使查询更易读,尤其是在处理包含多个反斜杠的长路径时。