Środowiska zapytań języka KQL
Teraz, gdy znasz język KQL, przyjrzyjmy się różnym środowiskom zapytań, w którym można używać języka KQL w produktach firmy Microsoft.
Środowiska opisane w tej lekcji to Azure Data Explorer, Analiza w czasie rzeczywistym w usłudze Microsoft Fabric, Azure Monitor, Microsoft Sentinel, Azure Resource Graph, Microsoft Defender XDR i Configuration Manager.
Azure Data Explorer
Azure Data Explorer to w pełni zarządzana, wysokiej wydajności platforma do analizy danych big data, która ułatwia analizowanie dużych ilości danych niemal w czasie rzeczywistym. Przybornik usługi Azure Data Explorer udostępnia kompleksowe rozwiązanie do pozyskiwania, wykonywania zapytań, wizualizacji i zarządzania danymi.
Usługa Azure Data Explorer ułatwia wyodrębnianie kluczowych szczegółowych informacji, wzorców i trendów oraz tworzenie modeli prognozowania. Używa ona uczenia maszynowego i analizuje dane ustrukturyzowane, częściowo ustrukturyzowane i nieustrukturyzowane w szeregach czasowych. Usługa Azure Data Explorer jest skalowalna, bezpieczna, niezawodna i gotowa do użycia w przedsiębiorstwie i jest przydatna w przypadku analizy dzienników, analizy szeregów czasowych, IoT i analizy eksploracyjnej ogólnego przeznaczenia.
Język KQL został opracowany dla usługi Azure Data Explorer i może być używany w różnych środowiskach, w tym w internetowym interfejsie użytkownika, interfejsie wiersza polecenia usługi Kusto i aplikacji klasycznej Kusto.Explorer . Pełny zestaw dokumentacji języka zapytań można znaleźć na stronie Omówienie języka KQL.
Aby uzyskać więcej informacji o produkcie, zobacz Co to jest usługa Azure Data Explorer?
Analiza w czasie rzeczywistym w usłudze Microsoft Fabric
Microsoft Fabric to rozwiązanie analityczne typu "wszystko w jednym" dla przedsiębiorstw, które obejmuje wszystko, od przenoszenia danych do nauki o danych, analizy niemal w czasie rzeczywistym i analizy biznesowej. Oferuje kompleksowy pakiet usług, w tym usług typu data lake, inżynierii danych i integracji danych, w jednym miejscu. Analiza w czasie rzeczywistym to w pełni zarządzana platforma analizy danych big data zoptymalizowana pod kątem danych przesyłanych strumieniowo i szeregów czasowych. Analiza w czasie rzeczywistym zawiera informacje, o których możemy myśleć jako o wersji SaaS usługi Azure Data Explorer. W szczególności możesz użyć języka KQL w zestawie zapytań KQL do uruchamiania zapytań, wyświetlania i dostosowywania wyników zapytań na danych z bazy danych KQL. Możesz również zapisywać zapytania do późniejszego użycia lub udostępniać innym osobom w celu współpracy nad eksploracją danych.
Aby uzyskać więcej informacji, zobacz Query data in a KQL Queryset (Wykonywanie zapytań w zestawie zapytań KQL).
Aby uzyskać więcej informacji o produkcie, zobacz Co to jest analiza w czasie rzeczywistym w sieci szkieletowej?
Azure Monitor
Usługa Azure Monitor zbiera, analizuje i reaguje na dane telemetryczne z platformy Azure, wielu chmur i środowisk lokalnych, aby pomóc zmaksymalizować dostępność i wydajność aplikacji i usług. Usługa Azure Monitor koreluje dane z wielu źródeł, w tym metryki, dzienniki, ślady i zmiany oraz udostępnia zestaw narzędzi do analizowania, wizualizowania i reagowania na dane. Te narzędzia obejmują szczegółowe informacje, alerty, automatyczne skalowanie i zautomatyzowaną sztuczną inteligencję na potrzeby operacji IT (AIOps).
Narzędzie Log Analytics w witrynie Azure Portal umożliwia edytowanie i uruchamianie zapytań dziennika względem danych w magazynie dzienników usługi Azure Monitor.
Usługa Azure Monitor używa tego samego języka KQL co usługa Azure Data Explorer z niewielkimi różnicami. Aby uzyskać informacje, zobacz Różnice w języku.
Aby uzyskać więcej informacji o produkcie, zobacz Omówienie usługi Azure Monitor.
Microsoft Sentinel
Microsoft Sentinel to skalowalne, natywne dla chmury rozwiązanie, które zapewnia zarządzanie informacjami i zdarzeniami zabezpieczeń (SIEM), a także orkiestrację zabezpieczeń, automatyzację i reagowanie (SOAR). Wiele funkcji w usłudze Microsoft Sentinel używa języka KQL. Biegłość w języku KQL jest cenna podczas korzystania z narzędzi wyszukiwania zagrożeń i zapytań usługi Microsoft Sentinel do proaktywnego i reaktywnego wyszukiwania zagrożeń bezpieczeństwa w źródłach danych organizacji. Aby uzyskać więcej informacji, zobacz Wyszukiwanie zagrożeń w usłudze Microsoft Sentinel.
Ale to tylko początek. Usługa Microsoft Sentinel używa języka KQL do obsługi alertów, wizualizacji skoroszytów, analizatorów i przekształcania danych. Ponieważ usługa Microsoft Sentinel jest oparta na usłudze Azure Monitor i używa obszarów roboczych usługi Log Analytics usługi Azure Monitor do przechowywania wszystkich swoich danych, usługa Microsoft Sentinel udostępnia również widok dzienników dla zapytań tabel bezpośrednich w celu znalezienia połączeń w danych.
Aby uzyskać więcej informacji o produkcie, zobacz Co to jest usługa Microsoft Sentinel?
Azure Resource Graph
Azure Resource Graph to usługa platformy Azure przeznaczona do rozszerzania usługi Azure Resource Management. Dzięki niej można skutecznie zarządzać środowiskiem, zapewniając wydajną i wydajną eksplorację zasobów z możliwością wykonywania zapytań na dużą skalę w danym zestawie subskrypcji. Za pomocą usługi Azure Resource Graph można uzyskać dostęp do dostawców zasobów właściwości zwracanych bez konieczności podejmowania poszczególnych wywołań do każdego dostawcy zasobów.
Usługa Azure Resource Graph obsługuje podzestaw typów danych KQL, funkcji skalarnych, operatorów skalarnych i funkcji agregacji. Usługa Resource Graph obsługuje określone operatory tabelaryczne, z których niektóre mają różne zachowania. Podsumujemy to zachowanie w temacie Obsługiwane elementy języka KQL.
Aby uzyskać więcej informacji o produkcie, zobacz Co to jest usługa Azure Resource Graph?
Microsoft Defender XDR
Usługa Microsoft Defender XDR to ujednolicony pakiet ochrony przedsiębiorstwa przed naruszeniem zabezpieczeń, który zapewnia zintegrowaną ochronę przed zaawansowanymi atakami. Natywnie koordynuje wykrywanie, zapobieganie, badanie i reagowanie między punktami końcowymi, tożsamościami, pocztą e-mail i aplikacjami. Zespół ds. operacji zabezpieczeń otrzymuje alert w portalu usługi Microsoft Defender za każdym razem, gdy zostanie wykryte złośliwe lub podejrzane działanie lub artefakt. Jednak nie wystarczy odpowiedzieć na ataki w miarę ich występowania. W przypadku rozszerzonych, wielofazowych ataków, takich jak oprogramowanie wymuszającego okup, należy aktywnie wyszukiwać dowody ataku w toku i podejmować działania, aby je zatrzymać przed jego zakończeniem.
Zaawansowane wyszukiwanie zagrożeń to narzędzie do wyszukiwania zagrożeń oparte na zapytaniach, które umożliwia eksplorowanie do 30 dni nieprzetworzonych danych. Możesz aktywnie sprawdzać zdarzenia w sieci, aby zlokalizować wskaźniki zagrożeń i jednostki. Elastyczny dostęp do danych umożliwia nieograniczone wyszukiwanie zagrożeń zarówno dla znanych, jak i potencjalnych zagrożeń. Aby uzyskać więcej informacji, zobacz Proaktywne wyszukiwanie zagrożeń za pomocą zaawansowanego wyszukiwania zagrożeń w usłudze Microsoft Defender XDR.
Aby uzyskać więcej informacji o produkcie, zobacz Co to jest usługa Microsoft Defender XDR?
Menedżer konfiguracji
Program Configuration Manager jest częścią rodziny produktów usługi Microsoft Intune, która zapewnia duży scentralizowany magazyn danych urządzeń używanych przez klientów do celów raportowania. CMPivot to narzędzie w konsoli, które zapewnia dostęp do stanu urządzeń w czasie rzeczywistym w danym środowisku.
Narzędzie CMPivot używa podzestawu języka KQL do wyszukiwania terminów, identyfikowania trendów, analizowania wzorców i udostępniania wielu innych szczegółowych informacji opartych na danych. Aby uzyskać więcej informacji, zobacz Zapytania narzędzia CMPivot.
Aby uzyskać więcej informacji o produkcie, zobacz Co to jest program Configuration Manager?