介绍

Kusto 查询语言 (KQL) 用于执行数据分析，以在 Microsoft Sentinel 中创建分析、工作簿和执行搜寻。了解如何将不同表中的数据与 KQL 语句进行关联是在 Microsoft Sentinel 中生成检测的基础。

你是一位安全运营分析师，你所在公司正在实现 Microsoft Sentinel。你负责执行日志数据分析，以便搜索恶意活动、显示可视化效果并执行威胁搜寻。

为了查询日志数据，你使用 Kusto 查询语言 (KQL)。通常，KQL 语句的结果集需要与另一个结果集合并或联接。可使用联合运算符来合并两个结果集。联接运算符基于键值将行联接在一起。你需要了解 KQL 语句的顺序如何影响预期结果。

提示

你可以在 LA 演示站点中测试以下 KQL 查询示例。如果收到消息“找不到结果”，请尝试更改时间范围。

反馈