Oefening: Verschillende typen KQL-query's

Voltooid

Laten we nu eens kijken wat u hebt geleerd over de structuur en het gebruik van verschillende typen query-instructies en het schrijven van enkele query's.

Query met tabellaire expressie-instructies

Tabellaire expressie-instructies zijn fundamenteel in KQL omdat ze ons in staat stellen om tabellaire gegevens te filteren en bewerken om gewenste resultaten te retourneren.

Laten we een voorbeeld bekijken. Selecteer het relevante tabblad voor uw omgeving.

Azure Data Explorer

Azure Data Explorer biedt een helpcluster met verschillende typen vooraf geladen gegevens. U hebt toegang tot dit cluster met behulp van de webgebruikersinterface van Azure Data Explorer.

Helpcluster van Azure Data Explorer

De volgende stappen laten zien hoe u een query bouwt door operators toe te passen op een beginnende gegevensset in tabelvorm. Elke query bestaat uit tabellaire expressie-instructies, waarvan sommige operatoren bevatten. Operators nemen een invoer in tabelvorm, voeren een bewerking uit en produceren een nieuwe uitvoer in tabelvorm.

1. Begin met een gegevensset in tabelvorm.

   De query uitvoeren

   StormEvents
   

   Uitvoer: De volledige tabelgegevensset uit de StormEvents tabel.

2. Pas een filter toe met behulp van de where operator om specifieke gebeurtenissen, zoals Overstromingsevenementen , te selecteren. De where operator filtert de gegevensset in tabelvorm en behoudt de structuur in tabelvorm.

   De query uitvoeren

   StormEvents
   | where State == "FLORIDA"
   

   Uitvoer: Een gegevensset in tabelvorm met StormEvents records in de staat FLORIDA.

3. Gebruik een andere operator om de uitvoer in tabelvorm verder te bewerken.

   De query uitvoeren

   StormEvents
   | where State == "FLORIDA"
   | sort by InjuriesDirect desc
   

   Uitvoer: Een tabellaire gegevensset met StormEvents records in FLORIDA gesorteerd in aflopende volgorde op basis van de InjuriesDirect kolom.

Azure Monitor/Microsoft Sentinel

Microsoft Sentinel en Log Analytics in Azure Monitor gebruiken beide de demo-omgeving, waartoe u toegang hebt door logboeken te zoeken en te selecteren in Azure Portal.

Log Analytics-demo-omgeving

De volgende stappen laten zien hoe u een query bouwt door operators toe te passen op een beginnende gegevensset in tabelvorm. Elke query bestaat uit tabellaire expressie-instructies, waarvan sommige operatoren bevatten. Operators nemen een invoer in tabelvorm, voeren een bewerking uit en produceren een nieuwe uitvoer in tabelvorm.

1. Begin met een gegevensset in tabelvorm.

   De query uitvoeren

   LAQueryLogs
   

   Uitvoer: De volledige tabelgegevensset uit de LAQueryLogs tabel.

2. Pas een filter toe met behulp van de where operator om specifieke gebeurtenissen te selecteren. De where operator filtert de gegevensset in tabelvorm en behoudt de structuur in tabelvorm.

   De query uitvoeren

   LAQueryLogs
   | where ResponseCode != 200
   

   Uitvoer: Een tabellaire gegevensset met LAQueryLogs records waarvan de antwoordcode niet 200 is.

3. Gebruik een andere operator om de uitvoer in tabelvorm verder te bewerken.

   De query uitvoeren

   LAQueryLogs
   | where ResponseCode != 200
   | sort by ResponseDurationMs desc
   

   Uitvoer: Een tabellaire gegevensset met LAQueryLogs records waarvan de antwoordcode niet 200 is gesorteerd in aflopende volgorde op basis van de ResponseDurationMs.

Azure Resource Graph

U hebt toegang tot Azure Resource Graph Explorer door Resource Graph Explorer te zoeken en te selecteren in Azure Portal.

Azure Resource Graph Explorer

De volgende stappen laten zien hoe u een query bouwt door operators toe te passen op een beginnende gegevensset in tabelvorm. Elke query bestaat uit tabellaire expressie-instructies, waarvan sommige operatoren bevatten. Operators nemen een invoer in tabelvorm, voeren een bewerking uit en produceren een nieuwe uitvoer in tabelvorm.

1. Begin met een gegevensset in tabelvorm.

   resources
   

   Uitvoer: De volledige tabelgegevensset uit de resources tabel.

2. Pas een filter toe met behulp van de where operator om specifieke gebeurtenissen te selecteren. De where operator filtert de gegevensset in tabelvorm en behoudt de structuur in tabelvorm.

   resources
   | where location == "eastus"
   

   Uitvoer: Een gegevensset in tabelvorm van resources in de regio Eastus .

3. Gebruik een andere operator om de uitvoer in tabelvorm verder te bewerken.

   resources
   | where location == "eastus"
   | distinct subscriptionId
   

   Uitvoer: Een tabellaire gegevensset van abonnements-id's met resources in de regio Eastus .

Een variabele introduceren met een let-instructie

Met instructies kunnen we variabelen definiëren in KQL-query's, zodat ze beter leesbaar en modulair kunnen worden.

Laten we een voorbeeld bekijken. Selecteer het relevante tabblad voor uw omgeving.

Azure Data Explorer

In de volgende query state zijn injuryThreshold variabelen die aan uw specifieke vereisten kunnen worden toegewezen. Deze variabelen worden vervolgens in de query gebruikt om de StormEvents tabel te filteren op basis van de gedefinieerde criteria.

De query uitvoeren

let state = "TEXAS";
let injuryThreshold = 10;
StormEvents
| where State == state and InjuriesDirect + InjuriesIndirect > injuryThreshold

Azure Monitor/Microsoft Sentinel

In de volgende query responseCodes is een variabele van het type dynamische matrix die antwoordcodes bevat. De variabele wordt vervolgens in de query gebruikt om de LAQueryLogs tabel voor logboeken met deze antwoordcodes te filteren.

De query uitvoeren

let responseCodes=dynamic([400, 499]);
LAQueryLogs
| where ResponseCode in (responseCodes)
| sort by ResponseDurationMs desc

Azure Resource Graph

Let-instructies worden niet ondersteund in Azure Resource Graph.