Ćwiczenie: różne typy zapytań KQL

Ukończone

Teraz przyjrzyjmy się strukturze i użyciu różnych typów instrukcji zapytań i napiszemy niektóre zapytania.

Wykonywanie zapytań za pomocą instrukcji wyrażeń tabelarycznych

Instrukcje wyrażeń tabelarycznych są fundamentalne w języku KQL, ponieważ umożliwiają filtrowanie i manipulowanie danymi tabelarycznymi w celu zwrócenia żądanych wyników.

Przyjrzyjmy się przykładowi. Wybierz odpowiednią kartę dla środowiska.

Azure Data Explorer

Usługa Azure Data Explorer oferuje klaster pomocy z różnymi typami wstępnie załadowanych danych. Dostęp do tego klastra można uzyskać przy użyciu internetowego interfejsu użytkownika usługi Azure Data Explorer.

Klaster pomocy usługi Azure Data Explorer

W poniższych krokach pokazano, jak utworzyć zapytanie, stosując operatory do początkowego tabelarycznego zestawu danych. Każde zapytanie składa się z instrukcji wyrażeń tabelarycznych, z których niektóre zawierają operatory. Operatory przyjmują dane wejściowe tabelaryczne, wykonują operację i tworzą nowe dane wyjściowe tabelaryczne.

1. Zacznij od tabelarycznego zestawu danych.

   Uruchamianie zapytania

   StormEvents
   

   Dane wyjściowe: kompletny tabelaryczny zestaw danych z StormEvents tabeli.

2. Zastosuj filtr przy użyciu operatora, where aby wybrać określone zdarzenia, takie jak zdarzenia powodziowe . Operator where filtruje tabelaryczny zestaw danych i zachowuje strukturę tabelaryczny.

   Uruchamianie zapytania

   StormEvents
   | where State == "FLORIDA"
   

   Dane wyjściowe: tabelaryczny zestaw danych rekordów StormEvents w stanie FLORYDa.

3. Użyj innego operatora, aby dodatkowo manipulować danymi wyjściowymi tabelarycznymi.

   Uruchamianie zapytania

   StormEvents
   | where State == "FLORIDA"
   | sort by InjuriesDirect desc
   

   Dane wyjściowe: tabelaryczny zestaw danych rekordów StormEvents na FLORYDZIE posortowany w kolejności malejącej na podstawie kolumny InjuriesDirect .

Azure Monitor/Microsoft Sentinel

Usługi Microsoft Sentinel i Log Analytics w usłudze Azure Monitor używają środowiska demonstracyjnego, do którego można uzyskać dostęp, wyszukując i wybierając pozycję Dzienniki w witrynie Azure Portal.

Środowisko demonstracyjne usługi Log Analytics

W poniższych krokach pokazano, jak utworzyć zapytanie, stosując operatory do początkowego tabelarycznego zestawu danych. Każde zapytanie składa się z instrukcji wyrażeń tabelarycznych, z których niektóre zawierają operatory. Operatory przyjmują dane wejściowe tabelaryczne, wykonują operację i tworzą nowe dane wyjściowe tabelaryczne.

1. Zacznij od tabelarycznego zestawu danych.

   Uruchamianie zapytania

   LAQueryLogs
   

   Dane wyjściowe: kompletny tabelaryczny zestaw danych z LAQueryLogs tabeli.

2. Zastosuj filtr przy użyciu operatora, where aby wybrać określone zdarzenia. Operator where filtruje tabelaryczny zestaw danych i zachowuje strukturę tabelaryczny.

   Uruchamianie zapytania

   LAQueryLogs
   | where ResponseCode != 200
   

   Dane wyjściowe: tabelaryczny zestaw danych rekordów, LAQueryLogs których kod odpowiedzi nie jest 200.

3. Użyj innego operatora, aby dodatkowo manipulować danymi wyjściowymi tabelarycznymi.

   Uruchamianie zapytania

   LAQueryLogs
   | where ResponseCode != 200
   | sort by ResponseDurationMs desc
   

   Dane wyjściowe: tabelaryczny zestaw danych rekordów, LAQueryLogs których kod odpowiedzi nie jest posortowany w kolejności malejącej na ResponseDurationMspodstawie .

Azure Resource Graph

Aby uzyskać dostęp do Eksploratora usługi Azure Resource Graph, wyszukaj i wybierz pozycję Eksplorator usługi Resource Graph w witrynie Azure Portal.

Eksplorator usługi Azure Resource Graph

W poniższych krokach pokazano, jak utworzyć zapytanie, stosując operatory do początkowego tabelarycznego zestawu danych. Każde zapytanie składa się z instrukcji wyrażeń tabelarycznych, z których niektóre zawierają operatory. Operatory przyjmują dane wejściowe tabelaryczne, wykonują operację i tworzą nowe dane wyjściowe tabelaryczne.

1. Zacznij od tabelarycznego zestawu danych.

   resources
   

   Dane wyjściowe: kompletny tabelaryczny zestaw danych z resources tabeli.

2. Zastosuj filtr przy użyciu operatora, where aby wybrać określone zdarzenia. Operator where filtruje tabelaryczny zestaw danych i zachowuje strukturę tabelaryczny.

   resources
   | where location == "eastus"
   

   Dane wyjściowe: tabelaryczny zestaw danych resources w regionie eastus .

3. Użyj innego operatora, aby dodatkowo manipulować danymi wyjściowymi tabelarycznymi.

   resources
   | where location == "eastus"
   | distinct subscriptionId
   

   Dane wyjściowe: tabelaryczny zestaw danych identyfikatorów subskrypcji z resources regionem eastus .

Wprowadzenie zmiennej z instrukcją let

Instrukcje let umożliwiają definiowanie zmiennych w zapytaniach KQL, dzięki czemu są bardziej czytelne i modułowe.

Przyjrzyjmy się przykładowi. Wybierz odpowiednią kartę dla środowiska.

Azure Data Explorer

W poniższym zapytaniu i injuryThreshold są zmiennymi, state które można przypisać wartości zgodnie z określonymi wymaganiami. Te zmienne są następnie używane w zapytaniu do filtrowania StormEvents tabeli na podstawie zdefiniowanych kryteriów.

Uruchamianie zapytania

let state = "TEXAS";
let injuryThreshold = 10;
StormEvents
| where State == state and InjuriesDirect + InjuriesIndirect > injuryThreshold

Azure Monitor/Microsoft Sentinel

W poniższym zapytaniu responseCodes jest zmienną typu tablica dynamiczna zawierająca kody odpowiedzi. Zmienna jest następnie używana w zapytaniu do filtrowania LAQueryLogs tabeli pod kątem dzienników przy użyciu tych kodów odpowiedzi.

Uruchamianie zapytania

let responseCodes=dynamic([400, 499]);
LAQueryLogs
| where ResponseCode in (responseCodes)
| sort by ResponseDurationMs desc

Azure Resource Graph

Instrukcje Let nie są obsługiwane w usłudze Azure Resource Graph.