Ćwiczenie: przykładowe zapytania

Ukończone

W poprzedniej lekcji zbadaliśmy ogólną strukturę zapytania KQL. Teraz spróbujmy uruchomić kilka przykładowych zapytań.

Uzyskiwanie dostępu do środowisk zapytań demonstracyjnych

Niektóre produkty korzystające z języka KQL oferują bezpłatne środowiska, których można używać do wykonywania zapytań. Wybierz jedną z poniższych kart odpowiadających środowisku zapytań, którego chcesz użyć.

Azure Data Explorer

Usługa Azure Data Explorer oferuje klaster pomocy z różnymi typami wstępnie załadowanych danych. Dostęp do tego klastra można uzyskać przy użyciu internetowego interfejsu użytkownika usługi Azure Data Explorer.

Klaster pomocy usługi Azure Data Explorer

Wymagania wstępne

To środowisko wymaga konta Microsoft lub tożsamości użytkownika Entra firmy Microsoft.

Uruchamianie przykładowego zapytania

Poniższe zapytanie odpowiada na pytanie: "Jakie były 10 pierwszych szkód w nieruchomości spowodowanych powodziami?"

Uruchamianie zapytania

StormEvents
| where EventType == "Flood"
| sort by DamageProperty desc
| take 10

Oto krok po kroku analiza sposobu przetwarzania danych przez zapytanie.

1. Zapytanie rozpoczyna się od StormEvents tabeli jako danych wejściowych tabelarycznych.
2. Filtruje on rekordy, dla których kolumna EventType jest dokładnie równa Flood.
3. Wynikowa lista jest sortowana w kolejności malejącej na podstawie wartości w kolumnie DamageProperty .
4. Na koniec zwracane są 10 pierwszych rekordów.

Azure Monitor/Microsoft Sentinel

Usługi Microsoft Sentinel i Log Analytics w usłudze Azure Monitor używają środowiska demonstracyjnego, do którego uzyskujesz dostęp, wyszukując i wybierając pozycję Dzienniki w witrynie Azure Portal.

Środowisko demonstracyjne usługi Log Analytics

Wymagania wstępne

To środowisko wymaga subskrypcji platformy Azure. Utwórz bezpłatne konto platformy Azure.

Uruchamianie przykładowego zapytania

Poniższe zapytanie odpowiada na pytanie"What were the top 10 longest response log query in the past day?" (Jakie były 10 najdłuższych zapytań dziennika odpowiedzi w ciągu ostatniego dnia?

Uruchamianie zapytania

LAQueryLogs
| where TimeGenerated between (ago(24h) .. now())
| sort by ResponseDurationMs desc
| take 10

Oto krok po kroku analiza sposobu przetwarzania danych przez zapytanie.

1. Zapytanie rozpoczyna się od LAQueryLogs tabeli jako danych wejściowych tabelarycznych.
2. Filtruje on rekordy, dla których kolumna TimeGenerated znajduje się od 24 godzin temu do teraz, co oznacza w ciągu ostatniego dnia.
3. Wynikowa lista jest sortowana w kolejności malejącej na podstawie wartości w kolumnie ResponseDurationMs .
4. Na koniec zwracane są 10 pierwszych rekordów.

Azure Resource Graph

Aby uzyskać dostęp do Eksploratora usługi Azure Resource Graph, wyszukaj i wybierz pozycję Eksplorator usługi Resource Graph w witrynie Azure Portal.

Eksplorator usługi Azure Resource Graph

Wymagania wstępne

To środowisko wymaga subskrypcji platformy Azure. Utwórz bezpłatne konto platformy Azure.

Uruchamianie przykładowego zapytania

Poniższe zapytanie odpowiada na pytanie "Co było ostatnio włączonymi zasobami magazynu 10?"

resources
| where type contains 'storage'
| sort by todatetime(properties.encryption.services.blob.LastEnabledTime)
| take 10

Oto krok po kroku analiza sposobu przetwarzania danych przez zapytanie.

1. Zapytanie rozpoczyna się od Resources tabeli jako danych wejściowych tabelarycznych.
2. Filtruje on rekordy, dla których kolumna type zawiera magazyn terminów.
3. Wynikowa lista jest sortowana w kolejności malejącej na podstawie wartości LastEnabledTime w polu dynamicznym o nazwie properties.
4. Na koniec zwracane są 10 pierwszych rekordów.