Comprendre la structure des instructions du langage de requête Kusto
Une requête Kusto est une requête en lecture seule de traitement de données et de retour de résultats. Vous indiquez le texte brut d’une requête à l’aide d’un modèle de flux de données conçu pour faciliter la lecture, la création et l’automatisation de la syntaxe. Chaque requête utilise des entités de schéma qui sont organisées en une hiérarchie semblable à celle de SQL : bases de données, tables et colonnes.
La requête consiste en une séquence d'énoncés de requête. Au moins une instruction dans la requête est une instruction d’expression tabulaire, qui génère des données organisées en colonnes et en lignes. Les instructions d’expression tabulaire de la requête produisent les résultats de la requête.
La syntaxe d’une instruction d’expression tabulaire comprend un flux de données tabulaires d’un opérateur de requête tabulaire à un autre. Les données partent de la source de données, puis transitent par un ensemble d’opérateurs de transformation de données liés avec le délimiteur | (barre verticale).
Par exemple, la requête suivante a une seule instruction, qui est une instruction d’expression tabulaire. L’instruction commence par une référence à une table appelée SecurityEvent. La valeur de la colonne EventID filtre les données (lignes), puis les résultats sont totalisés en créant une nouvelle colonne pour le nombre() par compte. Ensuite, dans la phase de préparation, les résultats sont alors limités à 10 lignes.
Important
Il est essentiel de comprendre comment les résultats transitent par le canal « | ». Tout ce qui se trouve à gauche du canal est traité, puis passé à droite du canal.
Accéder à l’environnement de démonstration Log Analytics
Microsoft fournit un accès à un environnement pour écrire des instructions KQL. La seule exigence est de disposer d’un compte pour la connexion à Azure. Votre compte Azure n’a aucuns frais pour accéder à cet environnement. Vous pouvez exécuter les instructions KQL dans ce module dans l’environnement de démonstration.
Vous pouvez accéder à l’environnement de démonstration sur le site de Logs Demo. Si vous recevez le message « Aucun résultat trouvé », essayez de modifier l’intervalle de temps.
Important
La base de données de démonstration Log Analytics est un environnement dynamique. Les événements enregistrés dans les tables de cet environnement sont mis à jour en continu avec différents événements de sécurité. Le principe est similaire à ce que l’on peut rencontrer dans un contexte d’opérations de sécurité réelles. Il peut par conséquent arriver que les requêtes finies de cette formation n’affichent pas de résultats en fonction de l’état de la base de données de démonstration au moment de l’exécution de la requête. Par exemple, une requête exécutée sur la table SecurityEvent pour « discardEventID = 4688 » au cours du dernier jour peut ne pas donner de résultats si cet événement particulier s’est produit pour la dernière fois il y a trois jours. Par conséquent, vous devrez peut-être ajuster les variables ad hoc dans les scripts fournis dans cette formation en fonction des données qui se trouvent dans la base de données de démonstration lorsque vous exécutez le script afin que la requête affiche les résultats. Ces ajustements de script sont similaires à ce que vous pourriez faire dans le monde réel. Ils vous aideront à comprendre comment fonctionnent les différentes parties du script.
La fenêtre de requête comporte trois sections principales :
La zone de gauche est une liste de références des tables de l’environnement.
La zone supérieure centrale est l’éditeur de requête.
La zone inférieure correspond aux résultats de la requête.
Avant d’exécuter une requête, ajustez l’intervalle de temps pour définir l’étendue des données. Pour modifier les colonnes de résultats affichées, sélectionnez la zone colonnes, puis choisissez les colonnes requises.