Упражнение. Различные типы запросов KQL

Завершено

Теперь давайте рассмотрим, что вы узнали о структуре и использовании различных типов инструкций запросов и напишите некоторые запросы.

Запрос с инструкциями табличного выражения

Операторы табличных выражений являются фундаментальными в KQL, так как позволяют фильтровать табличные данные и управлять ими, чтобы возвращать нужные результаты.

Рассмотрим пример. Выберите соответствующую вкладку для вашей среды.

Обозреватель данных Azure

Azure Data Explorer предлагает кластер справки с различными типами предварительно загруженных данных. Доступ к этому кластеру можно получить с помощью веб-интерфейса Azure Data Explorer.

Кластер справки Azure Data Explorer

Ниже показано, как создать запрос, применяя операторы к начальном табличному набору данных. Каждый запрос состоит из инструкций табличных выражений, некоторые из которых содержат операторы. Операторы принимают табличные входные данные, выполняют операцию и создают новые табличные выходные данные.

1. Начните с табличного набора данных.

   Выполнить запрос

   StormEvents
   

   Выходные данные: полный табличный набор данных из StormEvents таблицы.

2. Примените фильтр с помощью where оператора для выбора определенных событий, таких как события наводнения . Оператор where фильтрует табличный набор данных и сохраняет табличную структуру.

   Выполнить запрос

   StormEvents
   | where State == "FLORIDA"
   

   Выходные данные: табличный набор StormEvents записей в штате ФЛОРИДА.

3. Используйте другой оператор для дальнейшего управления табличными выходными данными.

   Выполнить запрос

   StormEvents
   | where State == "FLORIDA"
   | sort by InjuriesDirect desc
   

   Выходные данные: табличный набор StormEvents записей во ФЛОРИДе , отсортированный по убыванию по столбцу InjuriesDirect .

Azure Monitor или Microsoft Sentinel

Microsoft Sentinel и Log Analytics в Azure Monitor используют демонстрационную среду, доступ к которой можно получить, выполнив поиск и выбор журналов в портал Azure.

Демонстрационная среда Log Analytics

Ниже показано, как создать запрос, применяя операторы к начальном табличному набору данных. Каждый запрос состоит из инструкций табличных выражений, некоторые из которых содержат операторы. Операторы принимают табличные входные данные, выполняют операцию и создают новые табличные выходные данные.

1. Начните с табличного набора данных.

   Выполнить запрос

   LAQueryLogs
   

   Выходные данные: полный табличный набор данных из LAQueryLogs таблицы.

2. Примените фильтр с помощью where оператора для выбора определенных событий. Оператор where фильтрует табличный набор данных и сохраняет табличную структуру.

   Выполнить запрос

   LAQueryLogs
   | where ResponseCode != 200
   

   Выходные данные: табличный набор записей, код отклика LAQueryLogs которых не имеет значения 200.

3. Используйте другой оператор для дальнейшего управления табличными выходными данными.

   Выполнить запрос

   LAQueryLogs
   | where ResponseCode != 200
   | sort by ResponseDurationMs desc
   

   Выходные данные: табличный набор записей, код отклика LAQueryLogs которого не отсортирован в порядке убывания на ResponseDurationMsоснове.

Azure Resource Graph

Вы можете получить доступ к обозревателе Azure Resource Graph, выполнив поиск и выбрав обозреватель Resource Graph в портал Azure.

Обозреватель Azure Resource Graph

Ниже показано, как создать запрос, применяя операторы к начальном табличному набору данных. Каждый запрос состоит из инструкций табличных выражений, некоторые из которых содержат операторы. Операторы принимают табличные входные данные, выполняют операцию и создают новые табличные выходные данные.

1. Начните с табличного набора данных.

   resources
   

   Выходные данные: полный табличный набор данных из resources таблицы.

2. Примените фильтр с помощью where оператора для выбора определенных событий. Оператор where фильтрует табличный набор данных и сохраняет табличную структуру.

   resources
   | where location == "eastus"
   

   Выходные данные: табличный набор resources данных в регионе eastus .

3. Используйте другой оператор для дальнейшего управления табличными выходными данными.

   resources
   | where location == "eastus"
   | distinct subscriptionId
   

   Выходные данные: табличный набор идентификаторов подписок с resources регионом eastus .

Введение переменной с инструкцией let

Пусть операторы позволяют определять переменные в запросах KQL, что делает их более читаемыми и модульными.

Рассмотрим пример. Выберите соответствующую вкладку для вашей среды.

Обозреватель данных Azure

В следующем запросе state и injuryThreshold являются переменными, которые могут быть назначены значения в соответствии с конкретными требованиями. Эти переменные затем используются в запросе для фильтрации StormEvents таблицы на основе определенных критериев.

Выполнить запрос

let state = "TEXAS";
let injuryThreshold = 10;
StormEvents
| where State == state and InjuriesDirect + InjuriesIndirect > injuryThreshold

Azure Monitor или Microsoft Sentinel

В следующем запросе responseCodes представляет собой переменную динамического массива типа, содержащего коды откликов. Затем переменная используется в запросе для фильтрации LAQueryLogs таблицы для журналов с помощью этих кодов ответа.

Выполнить запрос

let responseCodes=dynamic([400, 499]);
LAQueryLogs
| where ResponseCode in (responseCodes)
| sort by ResponseDurationMs desc

Azure Resource Graph

Инструкции Let не поддерживаются в Azure Resource Graph.