Übung: Verschiedene Arten von KQL-Abfragen
Lassen Sie uns nun das, was Sie über den Aufbau und die Verwendung der verschiedenen Arten von Abfrageanweisungen gelernt haben, nutzen und einige Abfragen schreiben.
Abfrage mit tabellarischen Ausdrucksanweisungen
Tabellarische Ausdrucksanweisungen sind in KQL von grundlegender Bedeutung, da sie es uns ermöglichen, tabellarische Daten zu filtern und zu bearbeiten, um die gewünschten Ergebnisse zurückzugeben.
Sehen wir uns ein Beispiel an. Wählen Sie die relevante Registerkarte für Ihre Umgebung aus.
Azure Data Explorer bietet einen Hilfecluster mit verschiedenen Datentypen, die im Voraus geladen werden. Sie können auf diesen Cluster über die Webbenutzeroberfläche von Azure Data Explorer zugreifen.
Die folgenden Schritte zeigen, wie Sie eine Abfrage erstellen, indem Sie Operatoren auf ein tabellarisches Ausgangsdataset anwenden. Jede Abfrage besteht aus tabellarischen Ausdrucksanweisungen, von denen einige Operatoren enthalten. Operatoren nehmen eine tabellarische Eingabe an, führen einen Vorgang aus und generieren eine neue tabellarische Ausgabe.
Beginnen Sie mit einem tabellarischen Dataset.
StormEvents
Ausgabe: Das vollständige tabellarische Dataset aus der
StormEvents
-Tabelle.Wenden Sie mit dem
where
-Operator einen Filter an, um bestimmte Ereignisse auszuwählen, z. B. Hochwasser-Ereignisse. Derwhere
-Operator filtert das tabellarische Dataset und behält die tabellarische Struktur bei.StormEvents | where State == "FLORIDA"
Ausgabe: Ein Tabellendatensatz mit
StormEvents
-Datensätzen im Staat FLORIDA.Verwenden Sie einen anderen Operator, um die tabellarische Ausgabe weiter zu bearbeiten.
StormEvents | where State == "FLORIDA" | sort by InjuriesDirect desc
Ausgabe: Ein Tabellendatensatz mit
StormEvents
-Datensätzen in FLORIDA, die basierend auf der SpalteInjuriesDirect
in absteigender Reihenfolge sortiert sind.
Einführen einer Variablen mit einer let-Anweisung
Let-Anweisungen ermöglichen es uns, Variablen in KQL-Abfragen zu definieren, wodurch diese lesbarer und modularer werden.
Sehen wir uns ein Beispiel an. Wählen Sie die relevante Registerkarte für Ihre Umgebung aus.
In der folgenden Abfrage sind state
und injuryThreshold
Variablen, denen gemäß Ihren spezifischen Anforderungen Werte zugewiesen werden können. Diese Variablen werden dann innerhalb der Abfrage verwendet, um die StormEvents
-Tabelle basierend auf den definierten Kriterien zu filtern.
let state = "TEXAS";
let injuryThreshold = 10;
StormEvents
| where State == state and InjuriesDirect + InjuriesIndirect > injuryThreshold