Principy struktury příkazů dotazovací jazyk Kusto

  • 3 min

Dotaz KQL je požadavek jen pro čtení pro zpracování dat a vrácení výsledků. Požadavek je uvedený ve formátu prostého textu pomocí modelu toku dat, který je navržený tak, aby se syntaxe snadno četla, zapisovala a automatizovala. Dotaz používá entity schématu uspořádané v hierarchii podobné SQL: databáze, tabulky a sloupce.

Dotaz se skládá z posloupnosti příkazů dotazu. Alespoň jeden příkaz je příkaz tabulkového výrazu, který vytváří data uspořádaná v tabulkové síti sloupců a řádků. Příkazy tabulkových výrazů dotazu generují výsledky dotazu.

Syntaxe příkazu tabulkového výrazu obsahuje tok tabulkových dat z jednoho operátoru tabulkového dotazu do druhého. Počínaje zdrojem dat a pak protékají sadou operátorů transformace dat, které jsou svázané pomocí oddělovače svislé roury (|).

Například následující dotaz obsahuje jeden příkaz, což je příkaz tabulkového výrazu. Příkaz začíná tabulkou s názvem SecurityEvent. Hodnota sloupce EventID filtruje data (řádky) a výsledky se shrnou vytvořením nového sloupce pro count() podle účtu. V další fázi přípravy jsou výsledky omezeny na 10 řádků.

Diagram příkazu K Q L zobrazující data, podmínku a důkazy

Důležité

Je důležité pochopit, jak výsledky procházejí kanálem |. Vše nalevo od potrubí se zpracuje a pak se předá vpravo od potrubí.

Přístup k ukázkovém prostředí Log Analytics

Microsoft poskytuje přístup k prostředí pro procvičování psaní příkazů KQL. Jediným požadavkem je mít účet pro přihlášení k Azure. Za přístup k tomuto prostředí se vám neúčtují žádné poplatky. Příkazy KQL v tomto modulu můžete spouštět v ukázkovém prostředí.

K ukázkovém prostředí se dostanete na webu Ukázkové protokoly. Pokud se zobrazí zpráva "Nenašly se žádné výsledky", zkuste změnit časový rozsah.

Důležité

Ukázková databáze Log Analytics je dynamické prostředí. Události zaznamenané v tabulkách v daném prostředí se průběžně aktualizují různými událostmi zabezpečení. To se podobá tomu, co by člověk zažil v nastavení operací zabezpečení reálného světa. V důsledku toho můžou konečné dotazy v tomto trénování v závislosti na stavu ukázkové databáze v době spuštění dotazu zobrazovat žádné výsledky. Například dotaz na tabulku SecurityEvent pro "discardEventID = 4688" během posledního dne nemusí zobrazit žádné výsledky, pokud tato konkrétní událost naposledy proběhla před třemi dny. Proto může být potřeba upravit proměnné ve skriptech uvedených v tomto ad hoc trénovacím ad hoc v závislosti na datech v ukázkové databázi v době spuštění skriptu, aby dotaz zobrazil výsledky. Tyto úpravy skriptů se podobají tomu, co byste provedli v reálném světě, a měli byste se naučit, jak konkrétní části funkce skriptu fungují.

Snímek obrazovky s ukázkovým prostředím Log Analytics

Okno Dotaz má tři primární části:

  • Levá oblast je referenční seznam tabulek v prostředí.

  • Prostřední horní oblast je editor dotazů.

  • Dolní oblast je výsledky dotazu.

Před spuštěním dotazu upravte časový rozsah tak, aby byl rozsah dat vymezen. Pokud chcete změnit zobrazené sloupce výsledků, vyberte pole Sloupce a zvolte požadované sloupce.