Exercício: Diferentes tipos de consultas KQL

Concluído

Agora, vamos pegar o que você aprendeu sobre a estrutura e o uso de diferentes tipos de instruções de consulta e escrever algumas consultas.

Consulta com instruções de expressão tabular

As instruções de expressão tabular são fundamentais no KQL, pois nos permitem filtrar e manipular dados tabulares para retornar os resultados desejados.

Vamos a um exemplo. Selecione a guia relevante para o seu ambiente.

O Azure Data Explorer oferece um cluster de ajuda com diferentes tipos de dados pré-carregados. Você pode acessar esse cluster usando a interface do usuário da Web do Azure Data Explorer.

As etapas a seguir demonstram como criar uma consulta aplicando operadores a um conjunto de dados tabular inicial. Cada consulta é composta de instruções de expressão tabular, algumas das quais contêm operadores. Os operadores usam uma entrada tabular, executam uma operação e produzem uma nova saída tabular.

  1. Comece com um conjunto de dados tabular.

    StormEvents
    

    Saída: O conjunto de dados tabular completo da StormEvents tabela.

  2. Aplique um filtro usando o where operador para selecionar eventos específicos, como eventos de inundação . O where operador filtra o conjunto de dados tabular e preserva a estrutura tabular.

    StormEvents
    | where State == "FLORIDA"
    

    Saída: Um conjunto de dados tabular de StormEvents registros no estado de FLORIDA.

  3. Use outro operador para manipular ainda mais a saída tabular.

    StormEvents
    | where State == "FLORIDA"
    | sort by InjuriesDirect desc
    

    Saída: Um conjunto de dados tabular de StormEvents registros no FLORIDA classificados em ordem decrescente com base InjuriesDirect na coluna.

Introduzir uma variável com uma instrução let

As instruções permitem definir variáveis em consultas KQL, tornando-as mais legíveis e modulares.

Vamos a um exemplo. Selecione a guia relevante para o seu ambiente.

Na consulta a seguir, state e injuryThreshold são variáveis que podem ser atribuídas valores de acordo com seus requisitos específicos. Essas variáveis são usadas dentro da consulta para filtrar a StormEvents tabela com base nos critérios definidos.

let state = "TEXAS";
let injuryThreshold = 10;
StormEvents
| where State == state and InjuriesDirect + InjuriesIndirect > injuryThreshold