Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Kusto-Abfragesprache (Kusto Query Language, KQL) ist ein leistungsfähiges Tool, mit dem Sie Ihre Daten untersuchen und Muster erkennen, Anomalien und Ausreißer identifizieren, statistische Modelle erstellen können und vieles mehr. Sind Sie noch nicht mit KQL vertraut oder möchten Ihre KQL-Fähigkeiten verbessern? Sehen Sie sich die folgenden Lernressourcen an.
Weitere Informationen zu KQL finden Sie in der KQL-Übersicht.
Demoumgebung
Sie können Kusto Query Language-Anweisungen in einer Log Analytics-Demoumgebung im Azure-Portal üben. Es fällt keine Gebühr für die Verwendung dieser Übungsumgebung an, aber Sie benötigen ein Azure-Konto, um darauf zugreifen zu können.
Wie Log Analytics in der Produktionsumgebung kann das System auf verschiedene Weise verwendet werden:
Auswählen einer Tabelle, für die eine Abfrage erstellt werden soll. Wählen Sie auf der Standardregisterkarte Tabellen (dargestellt im roten Rechteck oben links) eine Tabelle aus der Liste der Tabellen aus, die nach Themen gruppiert sind (unten links dargestellt). Erweitern Sie die Themen, um die einzelnen Tabellen anzuzeigen. Sie können darüber hinaus jede Tabelle erweitern, um alle zugehörigen Felder (Spalten) anzuzeigen. Doppelklicken Sie auf die Namen von Tabellen oder Feldern, um sie an der Stelle des Cursors im Abfragefenster zu platzieren. Geben Sie den Rest der Abfrage wie unten angegeben nach dem Tabellennamen ein.
Nach einer vorhandenen Abfrage suchen, die Sie untersuchen oder ändern möchten. Wählen Sie die Registerkarte Abfragen (im roten Rechteck oben links) aus, um eine Liste der sofort verfügbaren Abfragen anzuzeigen. Oder wählen Sie in der Schaltflächenleiste oben rechts Abfragen aus. Doppelklicken Sie auf eine Abfrage, um sie an der Stelle des Cursors im Abfragefenster zu platzieren.
Wie in dieser Demoumgebung können Sie Daten auf der Seite Protokolle von Microsoft Azure Sentinel abfragen und filtern. Sie können eine Tabelle auswählen und einen Drilldown zum Anzeigen von Spalten ausführen. Sie können die angezeigten Standardspalten mithilfe der Spaltenauswahl ändern und den Standardzeitbereich für Abfragen festlegen. Wenn der Zeitbereich explizit in der Abfrage definiert ist, ist der Zeitfilter nicht verfügbar (abgeblendet).
Wenn Microsoft Sentinel in das Defender-Portal integriert ist, können Sie daten auch auf der Microsoft Defender Advanced-Suchseite abfragen und filtern. Weitere Informationen finden Sie unter Erweiterte Bedrohungssuche mit Daten von Microsoft Sentinel im Microsoft Defender-Portal.
Allgemeine Schulung
Allgemeine Informationen zu KQL finden Sie unter:
- Pluralsight: KQL von Grund auf neu
- Kusto Detective Agency
- Tutorial: Kennenlernen gängiger Operatoren
- Lernprogramm: Verwenden von Aggregationsfunktionen
- Lernprogramm: Verknüpfen von Daten aus mehreren Tabellen
- Cloud Academy: Einführung in die Kusto-Abfragesprache
Azure-Daten-Explorer
Weitere Informationen zu KQL im Azure-Daten-Explorer finden Sie unter:
Microsoft Fabric
Weitere Informationen zu KQL in Microsoft Fabric finden Sie unter "Erste Schritte mit Real-Time Analytics in Microsoft Fabric".
Azure Monitor
Weitere Informationen zu KQL in Azure Monitor finden Sie unter:
Microsoft Sentinel
Weitere Informationen zu KQL in Microsoft Sentinel finden Sie unter: