فهم بنية عبارة Kusto Query Language

  • 3 دقائق

استعلام KQL هو طلب للقراءة فقط لمعالجة البيانات وإرجاع النتائج. يتم ذكر الطلب في نص عادي، باستخدام نموذج تدفق البيانات المصمم لجعل بناء الجملة سهل القراءة والكتابة وأتمتة. يستخدم الاستعلام وحدات المخطط المنظمة في التسلسل هرمي مشابه لـ SQL: قواعد البيانات، والجداول، والأعمدة.

يتكون الاستعلام من سلسلة من عبارات الاستعلام. عبارة واحدة على الأقل عبارة تعبير جدولي تنتج بيانات مرتبة في شبكة تشبه الجدول من الأعمدة والصفوف. ينتج عن عبارات التعبير الجدولية الخاصة بالاستعلام نتائج الاستعلام.

يحتوي بناء جملة التعبير الجدولي على تدفق بيانات مجدول من عامل استعلام جدولي إلى آخر. بدءاً من مصدر البيانات، ثم التدفق عبر مجموعة من مشغلي تحويل البيانات المرتبطين معاً باستخدام محدد الأنبوب (|).

على سبيل المثال، يحتوي الاستعلام التالي على عبارة واحدة، وهي عبارة تعبير جدولية. يبدأ العبارة بجدول يسمى SecurityEvent. تقوم قيمة عمود EventID بتصفية البيانات (الصفوف) ثم يتم تلخيص النتائج بإنشاء عمود جديد لـcount() بالحساب. بعد ذلك، في مرحلة تحضير، النتائج ثم تقتصر على 10 صفوف.

Diagram of K Q L Statement showing data, condition and evidence.

هام

من الضروري أن نفهم كيف تتدفق النتائج من خلال المسار "|". تتم معالجة كل شيء على يسار المسار ثم يتم تمريرها إلى يمين المسار.

الوصول إلى بيئة العرض التوضيحي Log Analytics

توفر Microsoft الوصول إلى بيئة لممارسة كتابة عبارات KQL. الشرط الوحيد هو أن يكون لديك حساب لتسجيل الدخول إلى Azure. لا توجد أية رسوم على حساب Azure الخاص بك للوصول إلى هذه البيئة. يمكنك تنفيذ عبارات KQL في هذه الوحدة النمطية في بيئة العرض التوضيحي.

يمكنك الوصول إلى بيئة العرض التوضيحي على https://aka.ms/lademo

هام

تعد قاعدة بيانات الإصدار التجريبي لتحليلات السجل بيئة ديناميكية. يتم تحديث الأحداث المسجلة في الجداول في تلك البيئة باستمرار بأحداث أمان مختلفة. وهذا مشابه لما قد يواجهه الشخص في إعداد عمليات الأمان في العالم الحقيقي. ونتيجة لذلك، قد لا تظهر الاستعلامات المحدودة في هذا التدريب أي نتائج بناءً على حالة قاعدة بيانات الإصدار التجريبي في وقت تشغيل الاستعلام. على سبيل المثال، قد لا يُظهر طلب البحث في جدول SecurityEvent لـ "discardEventID = 4688" خلال اليوم الأخير أي نتائج إذا كان هذا الحدث المحدد قد وقع قبل ثلاثة أيام. لذلك، قد تحتاج إلى ضبط المتغيرات في البرامج النصية المدرجة في هذا التدريب المخصص بناءً على البيانات الموجودة في قاعدة بيانات الإصدار التجريبي في وقت تشغيل البرنامج النصي حتى يظهر الاستعلام النتائج. تتشابه تعديلات البرنامج النصي هذه مع ما قد تؤديه في العالم الحقيقي، ومن المفترض أن تساعدك على معرفة كيفية عمل الأجزاء المحددة من البرنامج النصي.

Screenshot of the Log Analytics Demo Environment.

يحتوي إطار الاستعلام على ثلاثة مقاطع أساسية:

  • ناحية اليسار هي قائمة مرجعية الجداول في البيئة.

  • منطقة أعلى المنتصف هي محرر «Query editor».

  • المنطقة السفلية هي «Query Results».

قبل تشغيل استعلام، قم بضبط النطاق الزمني لنطاق البيانات. لتغيير أعمدة النتائج المعروضة، حدد مربع «Columns»، واختر الأعمدة المطلوبة.