Oefening: Voorbeeldquery's

Voltooid

In de vorige les hebben we de algemene structuur van een KQL-query onderzocht. Nu gaan we een paar voorbeeldquery's uitvoeren.

Demoqueryomgevingen openen

Sommige producten die gebruikmaken van KQL bieden gratis omgevingen die u kunt gebruiken voor het oefenen van query's. Kies een van de volgende tabbladen die overeenkomen met de queryomgeving die u wilt gebruiken.

Azure Data Explorer

Azure Data Explorer biedt een helpcluster met verschillende typen vooraf geladen gegevens. U hebt toegang tot dit cluster met behulp van de webgebruikersinterface van Azure Data Explorer.

Helpcluster van Azure Data Explorer

Vereisten

Voor deze omgeving is een Microsoft-account of een Microsoft Entra-gebruikersidentiteit vereist.

Voorbeeldquery uitvoeren

De volgende query beantwoordt de vraag: "Wat zijn de tien belangrijkste schade aan eigendommen veroorzaakt door overstromingen?"

De query uitvoeren

StormEvents
| where EventType == "Flood"
| sort by DamageProperty desc
| take 10

Hier volgt een stapsgewijze analyse van hoe de query de gegevens verwerkt.

1. De query begint met de StormEvents tabel als de invoer in tabelvorm.
2. Deze filtert op records waarvoor de EventType kolom exact gelijk is aan Flood.
3. De resulterende lijst wordt in aflopende volgorde gesorteerd op basis van de waarde in de DamageProperty kolom.
4. Ten slotte worden de top 10 records geretourneerd.

Azure Monitor/Microsoft Sentinel

Microsoft Sentinel en Log Analytics in Azure Monitor gebruiken beide de demo-omgeving die u opent door logboeken te zoeken en te selecteren in Azure Portal.

Log Analytics-demo-omgeving

Vereisten

Voor deze omgeving is een Azure-abonnement vereist. Maak een gratis Azure-account.

Voorbeeldquery uitvoeren

De volgende query beantwoordt de vraag' 'Wat waren de tien langste antwoordduurlogboekquery's van de afgelopen dag?'

De query uitvoeren

LAQueryLogs
| where TimeGenerated between (ago(24h) .. now())
| sort by ResponseDurationMs desc
| take 10

Hier volgt een stapsgewijze analyse van hoe de query de gegevens verwerkt.

1. De query begint met de LAQueryLogs tabel als de invoer in tabelvorm.
2. Het filtert op records waarvoor de TimeGenerated kolom tussen 24 uur geleden en nu ligt, wat betekent in de afgelopen dag.
3. De resulterende lijst wordt in aflopende volgorde gesorteerd op basis van de waarde in de ResponseDurationMs kolom.
4. Ten slotte worden de top 10 records geretourneerd.

Azure Resource Graph

U hebt toegang tot Azure Resource Graph Explorer door Resource Graph Explorer te zoeken en te selecteren in Azure Portal.

Azure Resource Graph Explorer

Vereisten

Voor deze omgeving is een Azure-abonnement vereist. Maak een gratis Azure-account.

Voorbeeldquery uitvoeren

De volgende query beantwoordt de vraag ' Wat waren de tien meest recent ingeschakelde opslagbronnen?'

resources
| where type contains 'storage'
| sort by todatetime(properties.encryption.services.blob.LastEnabledTime)
| take 10

Hier volgt een stapsgewijze analyse van hoe de query de gegevens verwerkt.

1. De query begint met de Resources tabel als de invoer in tabelvorm.
2. Deze filtert op records waarvoor de type kolom de termenopslag bevat.
3. De resulterende lijst wordt in aflopende volgorde gesorteerd op basis van de waarde LastEnabledTime in het dynamische veld met de naam properties.
4. Ten slotte worden de top 10 records geretourneerd.