Übung: Verschiedene Arten von KQL-Abfragen

Abgeschlossen

Lassen Sie uns nun das, was Sie über den Aufbau und die Verwendung der verschiedenen Arten von Abfrageanweisungen gelernt haben, nutzen und einige Abfragen schreiben.

Abfrage mit tabellarischen Ausdrucksanweisungen

Tabellarische Ausdrucksanweisungen sind in KQL von grundlegender Bedeutung, da sie es uns ermöglichen, tabellarische Daten zu filtern und zu bearbeiten, um die gewünschten Ergebnisse zurückzugeben.

Sehen wir uns ein Beispiel an. Wählen Sie die relevante Registerkarte für Ihre Umgebung aus.

Azure Data Explorer bietet einen Hilfecluster mit verschiedenen Datentypen, die im Voraus geladen werden. Sie können auf diesen Cluster über die Webbenutzeroberfläche von Azure Data Explorer zugreifen.

Die folgenden Schritte zeigen, wie Sie eine Abfrage erstellen, indem Sie Operatoren auf ein tabellarisches Ausgangsdataset anwenden. Jede Abfrage besteht aus tabellarischen Ausdrucksanweisungen, von denen einige Operatoren enthalten. Operatoren nehmen eine tabellarische Eingabe an, führen einen Vorgang aus und generieren eine neue tabellarische Ausgabe.

  1. Beginnen Sie mit einem tabellarischen Dataset.

    StormEvents
    

    Ausgabe: Das vollständige tabellarische Dataset aus der StormEvents-Tabelle.

  2. Wenden Sie mit dem where-Operator einen Filter an, um bestimmte Ereignisse auszuwählen, z. B. Hochwasser-Ereignisse. Der where-Operator filtert das tabellarische Dataset und behält die tabellarische Struktur bei.

    StormEvents
    | where State == "FLORIDA"
    

    Ausgabe: Ein Tabellendatensatz mit StormEvents-Datensätzen im Staat FLORIDA.

  3. Verwenden Sie einen anderen Operator, um die tabellarische Ausgabe weiter zu bearbeiten.

    StormEvents
    | where State == "FLORIDA"
    | sort by InjuriesDirect desc
    

    Ausgabe: Ein Tabellendatensatz mit StormEvents-Datensätzen in FLORIDA, die basierend auf der Spalte InjuriesDirect in absteigender Reihenfolge sortiert sind.

Einführen einer Variablen mit einer let-Anweisung

Let-Anweisungen ermöglichen es uns, Variablen in KQL-Abfragen zu definieren, wodurch diese lesbarer und modularer werden.

Sehen wir uns ein Beispiel an. Wählen Sie die relevante Registerkarte für Ihre Umgebung aus.

In der folgenden Abfrage sind state und injuryThreshold Variablen, denen gemäß Ihren spezifischen Anforderungen Werte zugewiesen werden können. Diese Variablen werden dann innerhalb der Abfrage verwendet, um die StormEvents-Tabelle basierend auf den definierten Kriterien zu filtern.

let state = "TEXAS";
let injuryThreshold = 10;
StormEvents
| where State == state and InjuriesDirect + InjuriesIndirect > injuryThreshold