Informazioni sulla struttura delle istruzioni KQL
Una query KQL è una richiesta di sola lettura per l'elaborazione di dati e la restituzione di risultati. La richiesta viene espressa in testo normale, usando un modello di flusso di dati progettato per facilitare la lettura, la scrittura e l'automazione della sintassi. La query usa entità dello schema organizzate in una gerarchia simile a quella di SQL: database, tabelle e colonne.
La query è costituita da una sequenza di istruzioni. Almeno una è un'istruzione di espressione tabulare, ovvero un'istruzione che genera dati disposti in una mesh di colonne e righe simile a una tabella. Le istruzioni dell'espressione tabulare della query producono i risultati della query.
La sintassi di un'istruzione di espressione tabulare include un flusso di dati tabulari da un operatore di query tabulare a un altro. A partire dall'origine dati, i dati passano quindi attraverso un set di operatori di trasformazione dei dati associati insieme e con la barra verticale (|) come delimitatore.
Ad esempio, la query seguente comprende un'unica istruzione, che è un'istruzione di espressione tabulare. L'istruzione inizia con una tabella denominata SecurityEvent. Il valore della colonna EventID filtra i dati (righe) e quindi i risultati vengono riepilogati creando una nuova colonna per il conteggio() in base all'account. Successivamente, nella fase di preparazione, i risultati vengono quindi limitati a 10 righe.
Importante
È essenziale comprendere la dinamica del flusso dei risultati attraverso la barra verticale (|). Tutto ciò che si trova a sinistra della barra verticale viene elaborato e quindi passato a destra.
Accedere all'ambiente demo di Log Analytics
Microsoft fornisce l'accesso a un ambiente in cui esercitarsi nella scrittura di istruzioni KQL. L'unico requisito è quello di avere un account per accedere ad Azure. Per l'accesso a questo ambiente non sono previsti addebiti sull'account di Azure. È possibile eseguire istruzioni KQL nell'ambiente demo da questo modulo.
È possibile accedere all'ambiente demo nel sito demo log. Se viene visualizzato il messaggio "Nessun risultato trovato", provare a modificare l'intervallo di tempo.
Importante
Il database demo di Log Analytics è un ambiente dinamico. Gli eventi registrati nelle tabelle in tale ambiente vengono aggiornate continuamente con eventi di sicurezza diversi. Questo approccio è analogo all'esperienza di una persona in un contesto di operazioni di sicurezza concreto. È quindi possibile che le query finite in questo training non visualizzino risultati a seconda dello stato del database demo al momento dell'esecuzione della query. Una query sulla tabella SecurityEvent per "discardEventID = 4688" entro l'ultimo giorno potrebbe ad esempio non mostrare alcun risultato se tale evento specifico si sia verificato tre giorni fa. Potrebbe essere quindi necessario modificare le variabili negli script elencati in questo training ad hoc a seconda dei dati presenti nel database demo al momento dell'esecuzione dello script per visualizzare i risultati della query. Queste modifiche dello script sono simili alle operazioni che verrebbero eseguite nel mondo reale e dovrebbero consentire di ottenere informazioni sul funzionamento delle parti specifiche dello script.
La finestra della query è suddivisa in tre sezioni principali:
L'area a sinistra contiene un elenco di riferimento delle tabelle nell'ambiente.
L'area centrale superiore include l'editor di query.
L'area inferiore visualizza i risultati della query.
Prima di eseguire una query, modificare l'intervallo di tempo per definire l'ambito dei dati. Per modificare le colonne dei risultati visualizzate, selezionare la casella Colonne e scegliere le colonne desiderate.