Exercice : Différents types de requêtes KQL

Effectué

À présent, prenons ce que vous avez appris sur la structure et l’utilisation de différents types d’instructions de requête et écrivons des requêtes.

Requête avec des instructions d’expression tabulaire

Les instructions d’expression tabulaire sont fondamentales dans KQL, car elles nous permettent de filtrer et de manipuler des données tabulaires pour renvoyer les résultats souhaités.

Voyons un exemple. Sélectionnez l’onglet qui correspond à votre environnement.

Explorateur de données Azure

Azure Data Explorer propose un cluster d’aide avec différents types de données préchargées. Vous pouvez accéder à ce cluster à l’aide de l’interface utilisateur web d’Azure Data Explorer.

Cluster d’aide Azure Data Explorer

Les étapes suivantes montrent comment générer une requête en appliquant des opérateurs à un jeu de données tabulaire de démarrage. Chaque requête est composée d’instructions d’expression tabulaire, dont certaines contiennent des opérateurs. Les opérateurs prennent une entrée tabulaire, effectuent une opération et produisent une nouvelle sortie tabulaire.

1. Commencez par un jeu de données tabulaire.

   Exécuter la requête

   StormEvents
   

   Sortie : jeu de données tabulaire complet de la table StormEvents.

2. Appliquez un filtre avec l’opérateur where pour sélectionner des événements spécifiques, comme les événements Flood. L’opérateur where filtre le jeu de données tabulaire et conserve la structure tabulaire.

   Exécuter la requête

   StormEvents
   | where State == "FLORIDA"
   

   Sortie : Jeu de données tabulaire d’enregistrements StormEvents dans l’État FLORIDA.

3. Utilisez un autre opérateur pour manipuler davantage la sortie tabulaire.

   Exécuter la requête

   StormEvents
   | where State == "FLORIDA"
   | sort by InjuriesDirect desc
   

   Sortie : Jeu de données tabulaire d’enregistrements StormEvents en FLORIDA triés dans l’ordre décroissant de la colonne InjuriesDirect.

Azure Monitor/Microsoft Sentinel

Microsoft Sentinel et Log Analytics dans Azure Monitor utilisent tous les deux l’environnement de démonstration auquel vous pouvez accéder en recherchant et en sélectionnant Journaux dans le portail Azure.

Environnement de démo Log Analytics

Les étapes suivantes montrent comment générer une requête en appliquant des opérateurs à un jeu de données tabulaire de démarrage. Chaque requête est composée d’instructions d’expression tabulaire, dont certaines contiennent des opérateurs. Les opérateurs prennent une entrée tabulaire, effectuent une opération et produisent une nouvelle sortie tabulaire.

1. Commencez par un jeu de données tabulaire.

   Exécuter la requête

   LAQueryLogs
   

   Sortie : jeu de données tabulaire complet de la table LAQueryLogs.

2. Appliquez un filtre à l’aide de l’opérateur where pour sélectionner des événements spécifiques. L’opérateur where filtre le jeu de données tabulaire et conserve la structure tabulaire.

   Exécuter la requête

   LAQueryLogs
   | where ResponseCode != 200
   

   Sortie : Jeu de données tabulaire d’enregistrements LAQueryLogs dont le code de réponse n’est pas 200.

3. Utilisez un autre opérateur pour manipuler davantage la sortie tabulaire.

   Exécuter la requête

   LAQueryLogs
   | where ResponseCode != 200
   | sort by ResponseDurationMs desc
   

   Sortie : Jeu de données tabulaire d’enregistrements LAQueryLogs dont le code de réponse n’est pas 200, trié dans l’ordre décroissant de ResponseDurationMs.

Azure Resource Graph

Vous pouvez accéder à Azure Resource Graph Explorer en recherchant et en sélectionnant Resource Graph Explorer dans le portail Azure.

Explorateur Azure Resource Graph

Les étapes suivantes montrent comment générer une requête en appliquant des opérateurs à un jeu de données tabulaire de démarrage. Chaque requête est composée d’instructions d’expression tabulaire, dont certaines contiennent des opérateurs. Les opérateurs prennent une entrée tabulaire, effectuent une opération et produisent une nouvelle sortie tabulaire.

1. Commencez par un jeu de données tabulaire.

   resources
   

   Sortie : jeu de données tabulaire complet de la table resources.

2. Appliquez un filtre à l’aide de l’opérateur where pour sélectionner des événements spécifiques. L’opérateur where filtre le jeu de données tabulaire et conserve la structure tabulaire.

   resources
   | where location == "eastus"
   

   Sortie : Jeu de données tabulaire des resources dans la région eastus.

3. Utilisez un autre opérateur pour manipuler davantage la sortie tabulaire.

   resources
   | where location == "eastus"
   | distinct subscriptionId
   

   Sortie : Jeu de données tabulaire des ID d’abonnement avec des resources dans la région eastus.

Introduire une variable avec une instruction let

Les instructions let nous permettent de définir des variables dans des requêtes KQL, ce qui les rend plus lisibles et modulaires.

Voyons un exemple. Sélectionnez l’onglet qui correspond à votre environnement.

Explorateur de données Azure

Dans la requête suivante, state et injuryThreshold sont des variables qui peuvent recevoir des valeurs en fonction de vos exigences spécifiques. Ces variables sont ensuite utilisées dans la requête pour filtrer la table StormEvents en fonction des critères définis.

Exécuter la requête

let state = "TEXAS";
let injuryThreshold = 10;
StormEvents
| where State == state and InjuriesDirect + InjuriesIndirect > injuryThreshold

Azure Monitor/Microsoft Sentinel

Dans la requête suivante, responseCodes est une variable de type tableau dynamique qui contient des codes de réponse. La variable est ensuite utilisée dans la requête pour filtrer les journaux de la table LAQueryLogs qui ont ces codes de réponse.

Exécuter la requête

let responseCodes=dynamic([400, 499]);
LAQueryLogs
| where ResponseCode in (responseCodes)
| sort by ResponseDurationMs desc

Azure Resource Graph

Les instructions let ne sont pas prises en charge dans Azure Resource Graph.