Övning: Exempelfrågor

Slutförd

I föregående lektion undersökte vi den allmänna strukturen för en KQL-fråga. Nu ska vi prova att köra några exempelfrågor.

Få åtkomst till demofrågemiljöer

Några av de produkter som använder KQL erbjuder kostnadsfria miljöer som du kan använda för att öva frågor. Välj någon av följande flikar som motsvarar den frågemiljö som du vill använda.

Azure-datautforskaren

Azure Data Explorer erbjuder ett hjälpkluster med olika typer av data förinlästa. Du kan komma åt det här klustret med hjälp av webbgränssnittet för Azure Data Explorer.

Hjälpkluster för Azure Data Explorer

Förutsättningar

Den här miljön kräver ett Microsoft-konto eller en Microsoft Entra-användaridentitet.

Köra exempelfråga

Följande fråga besvarar frågan "Vilka var de 10 främsta egendomsskadorna som orsakades av översvämningar?"

Kör frågan

StormEvents
| where EventType == "Flood"
| sort by DamageProperty desc
| take 10

Här är en stegvis analys av hur frågan bearbetar data.

1. Frågan börjar med StormEvents tabellen som tabellindata.
2. Den filtrerar på poster som EventType kolumnen är exakt lika med Flood.
3. Den resulterande listan sorteras i fallande ordning baserat på värdet i DamageProperty kolumnen.
4. Slutligen returneras de 10 översta posterna.

Azure Monitor/Microsoft Sentinel

Både Microsoft Sentinel och Log Analytics i Azure Monitor använder demomiljön som du kommer åt genom att söka efter och välja Loggar i Azure Portal.

Log Analytics-demomiljö

Förutsättningar

Den här miljön kräver en Azure-prenumeration. Skapa ett kostnadsfritt Azure-konto.

Köra exempelfråga

Följande fråga besvarar frågan "Vilka var de 10 längsta svarstidsloggfrågorna under den senaste dagen?"

Kör frågan

LAQueryLogs
| where TimeGenerated between (ago(24h) .. now())
| sort by ResponseDurationMs desc
| take 10

Här är en stegvis analys av hur frågan bearbetar data.

1. Frågan börjar med LAQueryLogs tabellen som tabellindata.
2. Den filtrerar på poster för vilka TimeGenerated kolumnen är mellan 24 timmar sedan och nu, vilket betyder under den senaste dagen.
3. Den resulterande listan sorteras i fallande ordning baserat på värdet i ResponseDurationMs kolumnen.
4. Slutligen returneras de 10 översta posterna.

Azure Resource Graph

Du kan komma åt Azure Resource Graph Explorer genom att söka efter och välja Resource Graph Explorer i Azure Portal.

Azure Resource Graph Explorer

Förutsättningar

Den här miljön kräver en Azure-prenumeration. Skapa ett kostnadsfritt Azure-konto.

Köra exempelfråga

Följande fråga besvarar frågan "Vilka var de 10 senaste aktiverade lagringsresurserna?"

resources
| where type contains 'storage'
| sort by todatetime(properties.encryption.services.blob.LastEnabledTime)
| take 10

Här är en stegvis analys av hur frågan bearbetar data.

1. Frågan börjar med Resources tabellen som tabellindata.
2. Den filtrerar på poster som type kolumnen innehåller termen lagring för.
3. Den resulterande listan sorteras i fallande ordning baserat på värdet LastEnabledTime i det dynamiska fältet med namnet properties.
4. Slutligen returneras de 10 översta posterna.