فهم دالات KQL ذات المعلمات

10 دقائق

عند استدعاء وظائف KQL، يمكنك توفير مجموعة من المعلمات. هذا مفهوم مهم لبناء محللات ASIM لأنه يسمح لك بتصفية نتائج الدالة بقيم ديناميكية قبل إرجاع النتائج.

أولا، انتقل إلى السجلات في مساحة عمل Microsoft Sentinel.

تقوم دالة العينة التالية بإرجاع كافة الأحداث في سجل نشاط Azure منذ تاريخ معين، والتي تطابق فئة معينة.

ابدأ بالاستعلام التالي باستخدام القيم المحددة بتعليمات برمجية ثابتة. يتحقق ذلك من أن الاستعلام يعمل كما هو متوقع.

AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")

بعد ذلك، استبدل القيم المحددة بتعليمات برمجية ثابتة بأسماء المعلمات ثم احفظ الدالة عن طريق تحديد «حفظ» ثم «حفظ كدالة».

AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam

أدخل اسم الدالة ك AzureActivityByCategory ثم أنشئ معلمتين:

نوع	الاسم	القيمة الافتراضية
سلسلة	فئة المعلمة	«إدارية»
datetime	تاريخ المعلمة

يجب أن تبدو الشاشة مثل الصورة أدناه:

Screenshot of K Q L Function properties.

إنشاء استعلام جديد. ثم أدخل:

AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))

Screenshot of the K Q L calling Function.

متابعة

الملاحظات