你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

用于在 Microsoft Sentinel 中使用 Kusto 查询语言的有用资源

Microsoft Sentinel 使用 Azure Monitor 的 Log Analytics 环境和 Kusto 查询语言 （KQL） 构建其大部分功能（从分析规则到工作簿到搜寻）的查询。 本文列出了可帮助你熟练处理Kusto 查询语言的资源，为你提供更多工具来处理Microsoft Sentinel，无论是作为安全工程师还是分析师。

Microsoft 技术资源

Microsoft Sentinel 文档

• Microsoft Sentinel 中的 Kusto 查询语言

Kusto 文档

• Kusto 查询语言学习资源
• 教程：了解常用运算符
• 教程：使用聚合函数
• 教程：联接多个表中的数据
• KQL 查询 入门 （Azure Monitor 文档）
• 有关 Kusto 查询语言查询的最佳做法

参考指南

• KQL 快速参考指南
• SQL 到 Kusto 备份单
• Splunk 到 Kusto 查询语言映射

Microsoft Sentinel Learn 模块

• 用 Kusto 查询语言编写你的第一个查询
• 学习路径 SC-200：使用 Kusto 查询语言 (KQL) 为 Microsoft Sentinel 创建查询

其他资源

Microsoft TechCommunity 博客

• 高级 KQL 框架工作簿 - 助力精通 KQL（含网络研讨会）
• 使用 KQL 函数加速 Azure Sentinel 中的分析（高级）
• Ofer Shezaf 关于使用 KQL 运算符的关联规则的系列博客：
  • Azure Sentinel 关联规则：活动列表 out，make_list() in：AAD/AWS 关联示例
  • Azure Sentinel 关联规则：联接 KQL 运算符
  • 在 Azure Sentinel 中实现查找
  • Azure Sentinel 中的近似、部分和组合查找

训练和技能提升资源

• Rod Trent 的必学 KQL 系列
• Pluralsight 训练：从零学习 Kusto 查询语言
• Log Analytics 演示环境

后续步骤

获得认证！

阅读客户用例情景