練習:不同類型的 KQL 查詢

已完成

現在,讓我們了解各種查詢陳述式的結構和使用方式,並撰寫一些查詢。

表格式運算式陳述式查詢

表格式運算式語句是 KQL 的基本概念,因為它們可以讓我們篩選及操控表格式資料以傳回所需的結果。

讓我們來看完整範例。 選取您的環境相關的索引標籤。

Azure 資料總管提供預先載入不同類型資料的協助叢集。 您可以使用 Azure 資料總管網路 UI 來存取此叢集。

下列步驟示範如何將運算子套用至起始表格式資料集,以建置查詢。 每個查詢都是由表格式運算式陳述式所組成,其中有些包含運算子。 運算子會採用表格式輸入、執行作業,並產生新的表格式輸出。

  1. 從表格式資料集開始。

    StormEvents
    

    輸出:StormEvents 資料表中的完整表格式資料集。

  2. 使用 where 運算子套用篩選來選取特定事件,例如洪水攻擊事件。 where 運算子會篩選表格式資料集,並保留表格式結構。

    StormEvents
    | where State == "FLORIDA"
    

    輸出:處於 FLORIDA 狀態的 StormEvents 記錄的表格式資料集。

  3. 使用另一個運算子進一步操控表格式輸出。

    StormEvents
    | where State == "FLORIDA"
    | sort by InjuriesDirect desc
    

    輸出:根據 InjuriesDirect 資料行,以遞減順序排序 FLORIDAStormEvents 記錄的表格式資料集。

使用 let 陳述式引進變數

Let 陳述式可讓我們在 KQL 查詢中定義變數,使其更容易讀取及模組化。

讓我們來看完整範例。 選取您的環境相關的索引標籤。

在下列查詢中,stateinjuryThreshold 是可根據您的特定需求指派值的變數。 然後,查詢內會使用這些變數,以根據定義的準則篩選 StormEvents 資料表。

let state = "TEXAS";
let injuryThreshold = 10;
StormEvents
| where State == state and InjuriesDirect + InjuriesIndirect > injuryThreshold