演習: さまざまな種類の KQL クエリ

完了

次に、さまざまな種類のクエリ ステートメントの構造と使用について学習したことを利用して、いくつかのクエリを記述してみましょう。

表形式の式ステートメントを使用したクエリ

表形式の式ステートメントは、表形式データをフィルター処理して操作し、目的の結果を返せるようにするため、KQL の基本です。

例を見てみましょう。 お使いの環境に関連するタブを選択します。

Azure Data Explorer には、さまざまな種類のデータが事前に読み込まれたヘルプ クラスターが用意されています。 このクラスターには、Azure Data Explorer の Web UI を使用してアクセスできます。

次のステップは、開始表形式データセットに演算子を適用してクエリを作成する方法を示しています。 各クエリは表形式の式ステートメントで構成され、その一部には演算子が含まれています。 演算子は表形式の入力を受け取り、操作を実行し、新しい表形式の出力を生成します。

  1. 表形式データセットから始めましょう。

    StormEvents
    

    出力:StormEvents テーブルの完全な表形式データセット。

  2. where 演算子を使用してフィルターを適用し、"洪水" イベントなどの特定のイベントを選択します。 where 演算子は表形式データセットをフィルター処理し、表形式の構造を保持します。

    StormEvents
    | where State == "FLORIDA"
    

    出力:州が "フロリダ" である StormEvents レコードの表形式データセット。

  3. 別の演算子を使用して、表形式の出力をさらに操作します。

    StormEvents
    | where State == "FLORIDA"
    | sort by InjuriesDirect desc
    

    出力:InjuriesDirect 列に基づいて降順に並べ替えられた "フロリダ" の StormEvents レコードの表形式データセット。

let ステートメントを使用する変数を導入する

let ステートメントを使用すると、KQL クエリで変数を定義できるため、読みやすくなり、モジュール化されます。

例を見てみましょう。 お使いの環境に関連するタブを選択します。

次のクエリで、stateinjuryThreshold は特定の要件に従って値を割り当てることができる変数です。 これらの変数は、定義された条件に基づいて StormEvents テーブルをフィルター処理するためにクエリ内で使用されます。

let state = "TEXAS";
let injuryThreshold = 10;
StormEvents
| where State == state and InjuriesDirect + InjuriesIndirect > injuryThreshold