Exercício: Diferentes tipos de consultas KQL

Concluído

Agora, vamos pegar o que você aprendeu sobre a estrutura e o uso de diferentes tipos de instruções de consulta e escrever algumas consultas.

Consulta com instruções de expressão tabular

As instruções de expressão tabular são fundamentais no KQL, pois nos permitem filtrar e manipular dados tabulares para retornar os resultados desejados.

Vamos a um exemplo. Selecione a guia relevante para o seu ambiente.

Azure Data Explorer

O Azure Data Explorer oferece um cluster de ajuda com diferentes tipos de dados pré-carregados. Você pode acessar esse cluster usando a interface do usuário da Web do Azure Data Explorer.

Cluster de ajuda do Azure Data Explorer

As etapas a seguir demonstram como criar uma consulta aplicando operadores a um conjunto de dados tabular inicial. Cada consulta é composta de instruções de expressão tabular, algumas das quais contêm operadores. Os operadores usam uma entrada tabular, executam uma operação e produzem uma nova saída tabular.

1. Comece com um conjunto de dados tabular.

   Executar a consulta

   StormEvents
   

   Saída: O conjunto de dados tabular completo da StormEvents tabela.

2. Aplique um filtro usando o where operador para selecionar eventos específicos, como eventos de inundação . O where operador filtra o conjunto de dados tabular e preserva a estrutura tabular.

   Executar a consulta

   StormEvents
   | where State == "FLORIDA"
   

   Saída: Um conjunto de dados tabular de StormEvents registros no estado de FLORIDA.

3. Use outro operador para manipular ainda mais a saída tabular.

   Executar a consulta

   StormEvents
   | where State == "FLORIDA"
   | sort by InjuriesDirect desc
   

   Saída: Um conjunto de dados tabular de StormEvents registros no FLORIDA classificados em ordem decrescente com base InjuriesDirect na coluna.

Azure Monitor/Microsoft Sentinel

O Microsoft Sentinel e o Log Analytics no Azure Monitor usam o ambiente de demonstração, que você pode acessar pesquisando e selecionando Logs no portal do Azure.

Ambiente de demonstração do Log Analytics

As etapas a seguir demonstram como criar uma consulta aplicando operadores a um conjunto de dados tabular inicial. Cada consulta é composta de instruções de expressão tabular, algumas das quais contêm operadores. Os operadores usam uma entrada tabular, executam uma operação e produzem uma nova saída tabular.

1. Comece com um conjunto de dados tabular.

   Executar a consulta

   LAQueryLogs
   

   Saída: O conjunto de dados tabular completo da LAQueryLogs tabela.

2. Aplique um filtro usando o where operador para selecionar eventos específicos. O where operador filtra o conjunto de dados tabular e preserva a estrutura tabular.

   Executar a consulta

   LAQueryLogs
   | where ResponseCode != 200
   

   Saída: um conjunto de dados tabular de registros cujo código de LAQueryLogs resposta não é 200.

3. Use outro operador para manipular ainda mais a saída tabular.

   Executar a consulta

   LAQueryLogs
   | where ResponseCode != 200
   | sort by ResponseDurationMs desc
   

   Saída: um conjunto de dados tabular de registros cujo código de LAQueryLogs resposta não é 200 classificado em ordem decrescente com base no ResponseDurationMs.

Azure Resource Graph

Você pode acessar o Azure Resource Graph Explorer pesquisando e selecionando Resource Graph Explorer no portal do Azure.

Azure Resource Graph Explorer

As etapas a seguir demonstram como criar uma consulta aplicando operadores a um conjunto de dados tabular inicial. Cada consulta é composta de instruções de expressão tabular, algumas das quais contêm operadores. Os operadores usam uma entrada tabular, executam uma operação e produzem uma nova saída tabular.

1. Comece com um conjunto de dados tabular.

   resources
   

   Saída: O conjunto de dados tabular completo da resources tabela.

2. Aplique um filtro usando o where operador para selecionar eventos específicos. O where operador filtra o conjunto de dados tabular e preserva a estrutura tabular.

   resources
   | where location == "eastus"
   

   Saída: Um conjunto de dados tabular de resources na região eastus .

3. Use outro operador para manipular ainda mais a saída tabular.

   resources
   | where location == "eastus"
   | distinct subscriptionId
   

   Saída: um conjunto de dados tabular de IDs de assinatura com resources na região eastus .

Introduzir uma variável com uma instrução let

As instruções permitem definir variáveis em consultas KQL, tornando-as mais legíveis e modulares.

Vamos a um exemplo. Selecione a guia relevante para o seu ambiente.

Azure Data Explorer

Na consulta a seguir, state e injuryThreshold são variáveis que podem ser atribuídas valores de acordo com seus requisitos específicos. Essas variáveis são usadas dentro da consulta para filtrar a StormEvents tabela com base nos critérios definidos.

Executar a consulta

let state = "TEXAS";
let injuryThreshold = 10;
StormEvents
| where State == state and InjuriesDirect + InjuriesIndirect > injuryThreshold

Azure Monitor/Microsoft Sentinel

Na consulta a seguir, responseCodes é uma variável do tipo matriz dinâmica que contém códigos de resposta. A variável é então usada dentro da consulta para filtrar a LAQueryLogs tabela para logs com esses códigos de resposta.

Executar a consulta

let responseCodes=dynamic([400, 499]);
LAQueryLogs
| where ResponseCode in (responseCodes)
| sort by ResponseDurationMs desc

Azure Resource Graph

As instruções Let não são suportadas no Azure Resource Graph.