Descripción de la estructura de instrucciones del lenguaje de consulta Kusto
Una consulta KQL es una solicitud de solo lectura para procesar los datos y devolver resultados. La solicitud se indica en texto sin formato, usando un modelo de flujo de datos diseñado para simplificar la lectura, la escritura y la automatización de la sintaxis. La consulta usa entidades de esquema organizadas en una jerarquía similar a SQL: bases de datos, tablas y columnas.
La consulta consta de una secuencia de instrucciones de consulta. Al menos una instrucción es una instrucción de expresión tabular que genera datos organizados en una malla similar a una tabla de columnas y filas. Las instrucciones de expresión tabular de la consulta generan los resultados de la consulta.
La sintaxis de una instrucción de expresión tabular tiene un flujo de datos tabulares de un operador de consulta tabular a otro. Empieza por el origen de datos; después, los datos fluyen a través de un conjunto de operadores de transformación de datos que están enlazados con el delimitador de canalización (|).
Por ejemplo, la siguiente consulta tiene una sola instrucción, que es una instrucción de expresión tabular. La instrucción empieza con una tabla denominada SecurityEvent. Después, el valor de la columna EventID filtra los datos (filas) y, a continuación, resume los resultados creando una columna para el recuento por cuenta. Después, en la fase de preparación, los resultados se limitan a 10 filas.
Importante
Es esencial comprender cómo fluyen los resultados por la barra vertical "|". Todo lo que se encuentra a la izquierda de la barra vertical se procesa y se pasa a la derecha de dicha barra.
Acceso al entorno de demostración de Log Analytics
Microsoft proporciona acceso a un entorno para practicar la escritura de instrucciones KQL. El único requisito es tener una cuenta para iniciar sesión en Azure. No se aplica ningún cargo a su cuenta de Azure por acceder a este entorno. Puede ejecutar las instrucciones KQL en este módulo en el entorno de demostración.
Puede acceder al entorno de demostración en el Sitio de demostración de registros. Si recibe el mensaje "No se encontraron resultados", intente cambiar el intervalo de tiempo.
Importante
La base de datos de demostración de Log Analytics es un entorno dinámico. Los eventos registrados en las tablas de ese entorno se actualizan continuamente con diferentes eventos de seguridad. Esto es similar a lo que experimentaría una persona en una configuración de operaciones de seguridad del mundo real. Como resultado, es posible que las consultas finitas de este entrenamiento no muestren resultados en función del estado de la base de datos de demostración en el momento en que se ejecuta la consulta. Por ejemplo, una consulta en la tabla SecurityEvent para "discardEventID = 4688" en el último día puede no mostrar resultados si ese evento concreto tuvo lugar hace tres días. Por lo tanto, es posible que tenga que ajustar las variables en los scripts enumerados en este entrenamiento ad hoc en función de los datos que haya en la base de datos de demostración en el momento de ejecutar el script para que la consulta muestre los resultados. Estos ajustes de script son similares a los que realizaría en el mundo real y deberían ayudarle a aprender cómo funcionan las partes específicas de la función de script.
La ventana de consulta tiene tres secciones principales:
El área izquierda es una lista de referencia de las tablas del entorno.
El área central superior es el editor de consultas.
El área inferior es el resultado de la consulta.
Antes de ejecutar una consulta, ajuste el intervalo de tiempo para definir el ámbito de los datos. Para cambiar las columnas de resultados que se muestran, seleccione el cuadro Columnas y elija las columnas necesarias.