Esercizio - Tipi diversi di query KQL

Completato

Ora prendiamo ciò che è stato imparato sulla struttura e sull'uso dei diversi tipi di query, scrivendo alcune query.

Eseguire query con istruzioni di espressione tabulare

Le istruzioni di espressione tabulare sono fondamentali nel linguaggio KQL, perché consentono di filtrare e modificare i dati tabulari per restituire i risultati desiderati.

Vediamo un esempio. Selezionare la scheda pertinente per l'ambiente.

Esplora dati di Azure

Esplora dati di Azure offre un cluster della Guida con diversi tipi di dati precaricati. È possibile accedere a questo cluster usando l'interfaccia utente Web di Esplora dati di Azure.

Cluster della Guida di Esplora dati di Azure

La procedura seguente illustra come compilare una query applicando alcuni operatori a un set di dati tabulare iniziale. Ogni query è costituita da istruzioni di espressione tabulare, alcune delle quali contengono operatori. Gli operatori accettano un input tabulare, eseguono un'operazione e producono un nuovo output tabulare.

1. Iniziare con un set di dati tabulari.

   Eseguire la query

   StormEvents
   

   Output: il set di dati tabulari completo dalla tabella StormEvents.

2. Applicare un filtro usando l'operatore where per selezionare eventi specifici, ad esempio eventi Flood. L'operatore where filtra il set di dati tabulari e mantiene la struttura tabulare.

   Eseguire la query

   StormEvents
   | where State == "FLORIDA"
   

   Output: Un set di dati tabulari di record StormEvents nello stato FLORIDA.

3. Usare un altro operatore per modificare ulteriormente l'output tabulare.

   Eseguire la query

   StormEvents
   | where State == "FLORIDA"
   | sort by InjuriesDirect desc
   

   Output: Un set di dati tabulari di record StormEvents in FLORIDA disposto in ordine decrescente in base alla colonna InjuriesDirect.

Monitoraggio di Azure/Microsoft Sentinel

Microsoft Sentinel e Log Analytics in Monitoraggio di Azure usano entrambi l'ambiente demo, a cui si può accedere cercando e selezionando Log nel portale di Azure.

Ambiente demo di Log Analytics

La procedura seguente illustra come compilare una query applicando alcuni operatori a un set di dati tabulare iniziale. Ogni query è costituita da istruzioni di espressione tabulare, alcune delle quali contengono operatori. Gli operatori accettano un input tabulare, eseguono un'operazione e producono un nuovo output tabulare.

1. Iniziare con un set di dati tabulari.

   Eseguire la query

   LAQueryLogs
   

   Output: il set di dati tabulari completo dalla tabella LAQueryLogs.

2. Applicare un filtro usando l'operatore where per selezionare eventi specifici. L'operatore where filtra il set di dati tabulari e mantiene la struttura tabulare.

   Eseguire la query

   LAQueryLogs
   | where ResponseCode != 200
   

   Output: Un set di dati tabulari dei record LAQueryLogs il cui codice di risposta non è 200.

3. Usare un altro operatore per modificare ulteriormente l'output tabulare.

   Eseguire la query

   LAQueryLogs
   | where ResponseCode != 200
   | sort by ResponseDurationMs desc
   

   Output: Un set di dati tabulari dei record LAQueryLogs il cui codice di risposta non è 200 disposti in ordine decrescente in base a ResponseDurationMs.

Azure Resource Graph

È possibile accedere ad Azure Resource Graph Explorer cercando e selezionando Resource Graph Explorer nel portale di Azure.

Azure Resource Graph Explorer

La procedura seguente illustra come compilare una query applicando alcuni operatori a un set di dati tabulare iniziale. Ogni query è costituita da istruzioni di espressione tabulare, alcune delle quali contengono operatori. Gli operatori accettano un input tabulare, eseguono un'operazione e producono un nuovo output tabulare.

1. Iniziare con un set di dati tabulari.

   resources
   

   Output: il set di dati tabulari completo dalla tabella resources.

2. Applicare un filtro usando l'operatore where per selezionare eventi specifici. L'operatore where filtra il set di dati tabulari e mantiene la struttura tabulare.

   resources
   | where location == "eastus"
   

   Output: Un set di dati tabulari di resources nell'area eastus.

3. Usare un altro operatore per modificare ulteriormente l'output tabulare.

   resources
   | where location == "eastus"
   | distinct subscriptionId
   

   Output: Un set di dati tabulari di ID sottoscrizione con resources nell'area eastus.

Introdurre una variabile con un'istruzione let

Le istruzioni consentono di definire variabili nelle query KQL, rendendole più leggibili e modulari.

Vediamo un esempio. Selezionare la scheda pertinente per l'ambiente.

Esplora dati di Azure

Nella query seguente, state e injuryThreshold sono variabili a cui possono essere assegnati valori in base ai requisiti specifici. Queste variabili vengono quindi usate all'interno della query per filtrare la tabella StormEvents in base ai criteri definiti.

Eseguire la query

let state = "TEXAS";
let injuryThreshold = 10;
StormEvents
| where State == state and InjuriesDirect + InjuriesIndirect > injuryThreshold

Monitoraggio di Azure/Microsoft Sentinel

Nella query seguente, responseCodes è una variabile di tipo matrice dinamica contenente codici di risposta. La variabile viene quindi usata all'interno della query per filtrare la tabella LAQueryLogs per i log con tali codici di risposta.

Eseguire la query

let responseCodes=dynamic([400, 499]);
LAQueryLogs
| where ResponseCode in (responseCodes)
| sort by ResponseDurationMs desc

Azure Resource Graph

Le istruzioni let non sono supportate in Azure Resource Graph.