Exercício: diferentes tipos de consultas KQL

Concluído

Agora, vamos aproveitar o que você aprendeu sobre a estrutura e o uso de diferentes tipos de instruções de consulta e gravar algumas consultas.

Consulta com instruções de expressão tabular

As instruções de expressão tabular são fundamentais no KQL, pois nos permitem filtrar e manipular dados tabulares para retornar os resultados desejados.

Vamos examinar um exemplo. Selecione a guia relevante ao seu ambiente.

Azure Data Explorer

O Azure Data Explorer oferece um cluster de ajuda com diferentes tipos de dados pré-carregados. Você pode acessar esse cluster usando a interface do usuário da Web do Azure Data Explorer.

Cluster de ajuda do Azure Data Explorer

As etapas a seguir demonstram como criar uma consulta aplicando operadores a um conjunto de dados tabular inicial. Cada consulta é composta por instruções de expressão tabular, algumas das quais contêm operadores. Os operadores pegam uma entrada tabular, executam uma operação e produzem uma nova saída tabular.

1. Comece com um conjunto de dados tabular.

   Executar a consulta

   StormEvents
   

   Saída: o conjunto de dados tabular completo da tabela StormEvents.

2. Aplique um filtro usando o operador where para selecionar eventos específicos, como eventos Flood. O operador where filtra o conjunto de dados tabular e preserva a estrutura tabular.

   Executar a consulta

   StormEvents
   | where State == "FLORIDA"
   

   Saída: Um conjunto de dados tabulares de StormEvents registros no estado da FLORIDA.

3. Use outro operador para manipular ainda mais a saída tabular.

   Executar a consulta

   StormEvents
   | where State == "FLORIDA"
   | sort by InjuriesDirect desc
   

   Saída: Um conjunto de dados tabulares de StormEvents registros na FLORIDA classificados em ordem decrescente com base na coluna InjuriesDirect.

Azure Monitor/Microsoft Sentinel

O Microsoft Sentinel e o Log Analytics no Azure Monitor usam o ambiente de demonstração, que você pode acessar pesquisando e selecionando logs no portal do Azure.

Ambiente de demonstração do Log Analytics

As etapas a seguir demonstram como criar uma consulta aplicando operadores a um conjunto de dados tabular inicial. Cada consulta é composta por instruções de expressão tabular, algumas das quais contêm operadores. Os operadores pegam uma entrada tabular, executam uma operação e produzem uma nova saída tabular.

1. Comece com um conjunto de dados tabular.

   Executar a consulta

   LAQueryLogs
   

   Saída: o conjunto de dados tabular completo da tabela LAQueryLogs.

2. Aplique um filtro usando o operador where para selecionar eventos específicos. O operador where filtra o conjunto de dados tabular e preserva a estrutura tabular.

   Executar a consulta

   LAQueryLogs
   | where ResponseCode != 200
   

   Saída: Um conjunto de dados tabulares de LAQueryLogs registros cujo código de resposta não é 200.

3. Use outro operador para manipular ainda mais a saída tabular.

   Executar a consulta

   LAQueryLogs
   | where ResponseCode != 200
   | sort by ResponseDurationMs desc
   

   Saída: Um conjunto de dados tabulares de LAQueryLogs registros cujo código de resposta não é 200 classificado em ordem decrescente com base no ResponseDurationMs.

Gráfico de Recursos do Azure

Você pode acessar o Gerenciador do Azure Resource Graph pesquisando e selecionando Gerenciador do Resource Graph no portal do Azure.

Azure Resource Graph Explorer

As etapas a seguir demonstram como criar uma consulta aplicando operadores a um conjunto de dados tabular inicial. Cada consulta é composta por instruções de expressão tabular, algumas das quais contêm operadores. Os operadores pegam uma entrada tabular, executam uma operação e produzem uma nova saída tabular.

1. Comece com um conjunto de dados tabular.

   resources
   

   Saída: o conjunto de dados tabular completo da tabela resources.

2. Aplique um filtro usando o operador where para selecionar eventos específicos. O operador where filtra o conjunto de dados tabular e preserva a estrutura tabular.

   resources
   | where location == "eastus"
   

   Saída: Um conjunto de dados tabulares de resources na região eastus.

3. Use outro operador para manipular ainda mais a saída tabular.

   resources
   | where location == "eastus"
   | distinct subscriptionId
   

   Saída: Um conjunto de dados tabulares de IDs de assinatura com resources na região eastus.

Introduzir uma variável com uma instrução let

As instruções Let nos permitem definir variáveis em consultas KQL, tornando-as mais legíveis e modulares.

Vamos examinar um exemplo. Selecione a guia relevante ao seu ambiente.

Azure Data Explorer

Na consulta a seguir, state e injuryThreshold são variáveis às quais valores podem ser atribuídos, de acordo com seus requisitos específicos. Essas variáveis são usadas na consulta para filtrar a tabela StormEvents com base nos critérios definidos.

Executar a consulta

let state = "TEXAS";
let injuryThreshold = 10;
StormEvents
| where State == state and InjuriesDirect + InjuriesIndirect > injuryThreshold

Azure Monitor/Microsoft Sentinel

Na consulta a seguir, responseCodes é uma variável do tipo matriz dinâmica que contém códigos de resposta. Em seguida, a variável é usada na consulta para filtrar a tabela LAQueryLogs para logs com esses códigos de resposta.

Executar a consulta

let responseCodes=dynamic([400, 499]);
LAQueryLogs
| where ResponseCode in (responseCodes)
| sort by ResponseDurationMs desc

Gráfico de Recursos do Azure

Não há suporte para instruções let no Azure Resource Graph.