Förstå parametriserade KQL-funktioner
När du anropar KQL-funktioner kan du ange en uppsättning parametrar. Detta är ett viktigt begrepp för att skapa ASIM-parsers eftersom du kan filtrera funktionsresultaten med dynamiska värden innan du returnerar resultat.
Gå först till Loggar på Microsoft Sentinel-arbetsytan.
Följande exempelfunktion returnerar alla händelser i Azure-aktivitetsloggen sedan ett visst datum och som matchar en viss kategori.
Börja med följande fråga med hjälp av hårdkodade värden. Detta verifierar att frågan fungerar som förväntat.
AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")
Ersätt sedan de hårdkodade värdena med parameternamn och spara sedan funktionen genom att välja Spara och sedan Spara som-funktion.
AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam
Ange Funktionsnamn som AzureActivityByCategory Och skapa sedan två parametrar:
| Typ | Name | Standardvärde |
|---|---|---|
| sträng | CategoryParam | "Administrativ" |
| datetime | DateParam |
Skärmen bör se ut som bilden nedan:
Skapa en ny fråga. Ange sedan:
AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))
