Omówienie struktury instrukcji język zapytań Kusto

  • 3 min

Zapytanie KQL to żądanie tylko do odczytu do przetwarzania danych i zwracania wyników. Żądanie jest określone w postaci zwykłego tekstu przy użyciu modelu przepływu danych zaprojektowanego w celu ułatwienia odczytywania, zapisywania i automatyzowania składni. Zapytanie używa jednostek schematu zorganizowanych w hierarchii podobnej do sql: baz danych, tabel i kolumn.

Zapytanie składa się z sekwencji instrukcji zapytania. Co najmniej jedna instrukcja jest instrukcją wyrażenia tabelarycznego, która tworzy dane ułożone w siatkę przypominającą tabelę kolumn i wierszy. Instrukcje wyrażenia tabelarycznego w zapytaniu generują wyniki zapytania.

Składnia instrukcji wyrażenia tabelarycznego zawiera przepływ danych tabelarycznych z jednego operatora zapytania tabelarycznego do innego. Począwszy od źródła danych, przepływając przez zestaw operatorów przekształcania danych powiązanych ze sobą przy użyciu ogranicznika potoku (|).

Na przykład następujące zapytanie zawiera pojedynczą instrukcję, która jest instrukcją wyrażenia tabelarycznego. Instrukcja rozpoczyna się od tabeli o nazwie SecurityEvent. Wartość kolumny EventID filtruje dane (wiersze), a następnie wyniki są sumowane przez utworzenie nowej kolumny dla wartości count() według konta. Następnie w fazie Przygotowywania wyniki są ograniczone do 10 wierszy.

Diagram instrukcji K Q L przedstawiający dane, warunek i dowody.

Ważne

Ważne jest, aby zrozumieć, w jaki sposób wyniki przepływają przez potok "|". Wszystko po lewej stronie rury jest przetwarzane, a następnie przekazywane z prawej strony rury.

Uzyskiwanie dostępu do środowiska demonstracyjnego usługi Log Analytics

Firma Microsoft zapewnia dostęp do środowiska, aby ćwiczyć pisanie instrukcji KQL. Jedynym wymaganiem jest posiadanie konta do logowania się na platformie Azure. Aby uzyskać dostęp do tego środowiska, nie są naliczane opłaty za konto platformy Azure. Instrukcje KQL można wykonać w tym module w środowisku demonstracyjnym.

Dostęp do środowiska demonstracyjnego można uzyskać w witrynie Pokaz dzienników. Jeśli zostanie wyświetlony komunikat "Nie znaleziono wyników", spróbuj zmienić zakres czasu.

Ważne

Demonstracyjna baza danych usługi Log Analytics jest środowiskiem dynamicznym. Zdarzenia zarejestrowane w tabelach w tym środowisku są stale aktualizowane przy użyciu różnych zdarzeń zabezpieczeń. Jest to podobne do tego, co osoba mogłaby doświadczyć w rzeczywistym ustawieniu operacji zabezpieczeń. W związku z tym zapytania skończone w tym trenowaniu mogą nie wyświetlać żadnych wyników w zależności od stanu bazy danych demonstracyjnej w momencie uruchomienia zapytania. Na przykład zapytanie w tabeli SecurityEvent "discardEventID = 4688" w ciągu ostatniego dnia może nie pokazywać żadnych wyników, jeśli to zdarzenie miało miejsce trzy dni temu. W związku z tym może być konieczne dostosowanie zmiennych w skryptach wymienionych w tym szkoleniu ad hoc w zależności od danych znajdujących się w bazie danych demonstracyjnej w momencie uruchomienia skryptu w celu wyświetlenia wyników zapytania. Te dostosowania skryptów są podobne do tego, co można wykonać w świecie rzeczywistym i powinny pomóc w sposobie działania określonych części skryptu.

Zrzut ekranu przedstawiający środowisko demonstracyjne usługi Log Analytics.

Okno Zapytanie zawiera trzy główne sekcje:

  • Lewy obszar to lista referencyjna tabel w środowisku.

  • Środkowy górny obszar to edytor zapytań.

  • Dolny obszar to wyniki zapytania.

Przed uruchomieniem zapytania dostosuj zakres czasu, aby ograniczyć zakres danych. Aby zmienić wyświetlane kolumny wyników, wybierz pole Kolumny i wybierz wymagane kolumny.