Общие сведения о параметризованных функциях KQL
При вызове функций KQL можно предоставить набор параметров. Это важная концепция для создания средств синтаксического анализа ASIM, так как она позволяет фильтровать возвращаемые результаты функции по динамически заданным значениями.
Для начала перейдите к разделу "Журналы" в рабочей области Microsoft Sentinel.
В приведенном ниже примере функция возвращает все события в журнале действий Azure, соответствующие определенной категории, начиная с определенной даты.
Для начала создайте приведенный ниже запрос, в котором используются жестко заданные значения. Так вы убедитесь, что запрос работает должным образом.
AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")
Затем замените жестко заданные значения именами параметров и сохраните функцию, нажав кнопку Сохранить, а затем щелкнув Сохранить как функцию.
AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam
Введите имя функции AzureActivityByCategory и создайте для нее два параметра:
| Тип | Имя. | Значение по умолчанию |
|---|---|---|
| строка | CategoryParam | Административное |
| datetime | DateParam |
Ваш экран должен выглядеть так, как на изображении ниже.
Создайте новый запрос. Затем введите:
AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))
