Ejercicio: Tipos diferentes de consultas de KQL

Completado

Ahora vamos a aplicar lo que ha aprendido sobre la estructura y el uso de diferentes tipos de instrucciones de consulta y escribir algunas consultas.

Consulta con instrucciones de expresión tabular

Las instrucciones de expresión tabular son fundamentales en KQL, ya que nos permiten filtrar y manipular datos tabulares para devolver los resultados deseados.

Veamos un ejemplo. Seleccione la pestaña correspondiente a su entorno.

Azure Data Explorer

Azure Data Explorer ofrece un clúster de ayuda con distintos tipos de datos cargados previamente. Puede acceder a este clúster mediante la interfaz de usuario web de Azure Data Explorer.

Clúster de ayuda de Azure Data Explorer

En los pasos siguientes, se muestra cómo crear una consulta aplicando operadores a un conjunto de datos tabular inicial. Cada consulta consta de instrucciones de expresión tabular, algunas de las cuales contienen operadores. Los operadores toman una entrada tabular, realizan una operación y generan una salida tabular nueva.

1. Comience con un conjunto de datos tabular.

   Ejecución de la consulta

   StormEvents
   

   Salida: el conjunto de datos tabular completo de la tabla StormEvents.

2. Aplique un filtro con el operador where para seleccionar eventos específicos, como eventos Flood. El operador where filtra el conjunto de datos tabular y conserva la estructura tabular.

   Ejecución de la consulta

   StormEvents
   | where State == "FLORIDA"
   

   Salida: Un conjunto de datos tabulares de registros StormEvents en el estado de FLORIDA.

3. Use otro operador para manipular aún más la salida tabular.

   Ejecución de la consulta

   StormEvents
   | where State == "FLORIDA"
   | sort by InjuriesDirect desc
   

   Salida: Un conjunto de datos tabulares de registros StormEvents de FLORIDA en orden descendente en función de la columna InjuriesDirect.

Azure Monitor/Microsoft Sentinel

Microsoft Sentinel y Log Analytics en Azure Monitor usan el entorno de demostración, al que se accede mediante la búsqueda y selección de Registros en Azure Portal.

Entorno de demostración de Log Analytics

En los pasos siguientes, se muestra cómo crear una consulta aplicando operadores a un conjunto de datos tabular inicial. Cada consulta consta de instrucciones de expresión tabular, algunas de las cuales contienen operadores. Los operadores toman una entrada tabular, realizan una operación y generan una salida tabular nueva.

1. Comience con un conjunto de datos tabular.

   Ejecución de la consulta

   LAQueryLogs
   

   Salida: el conjunto de datos tabular completo de la tabla LAQueryLogs.

2. Aplique un filtro con el operador where para seleccionar eventos específicos. El operador where filtra el conjunto de datos tabular y conserva la estructura tabular.

   Ejecución de la consulta

   LAQueryLogs
   | where ResponseCode != 200
   

   Salida: Conjunto de datos tabulares de registros LAQueryLogs cuyo código de respuesta no es 200.

3. Use otro operador para manipular aún más la salida tabular.

   Ejecución de la consulta

   LAQueryLogs
   | where ResponseCode != 200
   | sort by ResponseDurationMs desc
   

   Salida: Conjunto de datos tabulares de registros LAQueryLogs cuyo código de respuesta no es 200 en orden descendente en función de ResponseDurationMs.

Azure Resource Graph

Para acceder al Explorador de Azure Resource Graph, busque y seleccione Resource Graph Explorer en Azure Portal.

Azure Resource Graph Explorer

En los pasos siguientes, se muestra cómo crear una consulta aplicando operadores a un conjunto de datos tabular inicial. Cada consulta consta de instrucciones de expresión tabular, algunas de las cuales contienen operadores. Los operadores toman una entrada tabular, realizan una operación y generan una salida tabular nueva.

1. Comience con un conjunto de datos tabular.

   resources
   

   Salida: el conjunto de datos tabular completo de la tabla resources.

2. Aplique un filtro con el operador where para seleccionar eventos específicos. El operador where filtra el conjunto de datos tabular y conserva la estructura tabular.

   resources
   | where location == "eastus"
   

   Salida: Un conjunto de datos tabulares de resources en la región eastus.

3. Use otro operador para manipular aún más la salida tabular.

   resources
   | where location == "eastus"
   | distinct subscriptionId
   

   Salida: Un conjunto de datos tabulares de identificadores de suscripción con resources en la región eastus.

Introducción de una variable con una instrucción Let

Las instrucciones Let nos permiten definir variables en consultas KQL, lo que hace que sean más legibles y modulares.

Veamos un ejemplo. Seleccione la pestaña correspondiente a su entorno.

Azure Data Explorer

En la consulta siguiente, state y injuryThreshold son variables a las que se pueden asignar valores en función de los requisitos específicos que tenga. Estas variables se usan en la consulta para filtrar la tabla StormEvents según los criterios definidos.

Ejecución de la consulta

let state = "TEXAS";
let injuryThreshold = 10;
StormEvents
| where State == state and InjuriesDirect + InjuriesIndirect > injuryThreshold

Azure Monitor/Microsoft Sentinel

En la consulta siguiente, responseCodes es una variable de tipo matriz dinámica que contiene códigos de respuesta. De este modo, la variable se usa dentro de la consulta para filtrar la tabla LAQueryLogs de los registros con esos códigos de respuesta.

Ejecución de la consulta

let responseCodes=dynamic([400, 499]);
LAQueryLogs
| where ResponseCode in (responseCodes)
| sort by ResponseDurationMs desc

Azure Resource Graph

Las instrucciones Let no se admiten en Azure Resource Graph.