练习:不同类型的 KQL 查询
现在,让我们学习一下不同类型查询语句的结构和使用,并编写一些查询。
使用表格表达式语句进行查询
表格表达式语句是 KQL 中的基础,通过它们可筛选和操作表格数据以返回所需的结果。
让我们来看一个示例。 选择与你的环境相关的选项卡。
Azure 数据资源管理器提供了一个帮助群集,其中预加载了不同类型的数据。 可以使用 Azure 数据资源管理器 Web UI 访问此群集。
以下步骤演示如何通过将运算符应用于起始表格数据集来生成查询。 每个查询都由表格表达式语句组成,其中一些语句包含运算符。 运算符采用表格输入、执行操作并生成新的表格输出。
从表格数据集开始。
StormEvents输出:
StormEvents表中的完整表格数据集。应用使用了
where运算符的筛选器来选择特定事件,例如“Flood”事件。where运算符会筛选表格数据集并保留表格结构。StormEvents | where State == "FLORIDA"输出:状态为“FLORIDA”的
StormEvents记录的表格数据集。使用另一个运算符进一步操作表格输出。
StormEvents | where State == "FLORIDA" | sort by InjuriesDirect desc输出:“FLORIDA”状态下的
StormEvents记录的表格数据集,这些记录基于InjuriesDirect列按降序排序。
使用 let 语句引入变量
通过 let 语句可在 KQL 查询中定义变量,使其更具可读性和模块化。
让我们来看一个示例。 选择与你的环境相关的选项卡。
在以下查询中,state 和 injuryThreshold 是可根据特定要求进行赋值的变量。 然后,会在查询中使用这些变量来根据定义的条件筛选 StormEvents 表。
let state = "TEXAS";
let injuryThreshold = 10;
StormEvents
| where State == state and InjuriesDirect + InjuriesIndirect > injuryThreshold