Leer en inglés

Compartir a través de

Tutorial: Información sobre operadores comunes

  • Artículo

Se aplica a: ✅Microsoft FabricAzure Data Explorer✅Azure MonitorMicrosoft Sentinel

Lenguaje de consulta Kusto (KQL) se usa para escribir consultas en Azure Data Explorer, Azure Monitor Log Analytics, Azure Sentinel, etc. Este tutorial es una introducción a los operadores KQL esenciales que se usan para acceder a los datos y analizarlos.

Para obtener instrucciones más específicas sobre cómo consultar registros en Azure Monitor, consulte Introducción a las consultas de registro.

Nota

¿No encuentra lo que busca? Este artículo se ha dividido recientemente, como se indica a continuación:

En este tutorial, aprenderá a:

En los ejemplos de este tutorial se usa la StormEvents tabla , que está disponible públicamente en el clúster de ayuda. Para explorar con sus propios datos, cree su propio clúster gratuito.

En los ejemplos de este tutorial se usa la StormEvents tabla , que está disponible públicamente en los datos de ejemplo de Análisis meteorológicos.

Requisitos previos

Para ejecutar las siguientes consultas, necesita un entorno de consulta con acceso a los datos de ejemplo. Puede usar cualquiera de los siguientes medios:

  • Una cuenta microsoft o una identidad de usuario de Microsoft Entra para iniciar sesión en el clúster de ayuda

Contar filas

Empiece por usar el operador count para buscar el número de registros de storm en la StormEvents tabla.

Kusto 
StormEvents 
| count

Salida

Count
59066

Consulte un ejemplo de datos.

Para obtener una idea de los datos, use el operador take para ver una muestra de registros. Este operador devuelve un número especificado de filas arbitrarias de la tabla, lo que puede resultar útil para obtener una vista previa de la estructura y el contenido generales de los datos.

Kusto 
StormEvents 
| take 5

En la tabla siguiente solo se muestran cinco de las 22 columnas devueltas. Para ver la salida completa, ejecute la consulta.

StartTime EndTime EpisodeId EventId State EventType ...
2007-09-20T21:57:00Z 2007-09-20T22:05:00Z 11078 60913 FLORIDA Tornado ...
2007-12-20T07:50:00Z 2007-12-20T07:53:00Z 12,554 68796 MISISIPÍ Viento de tormenta ...
2007-12-30T16:00:00Z 2007-12-30T16:05:00Z 11749 64588 GEORGIA Viento de tormenta ...
2007-09-29T08:11:00Z 2007-09-29T08:11:00Z 11091 61032 ATLÁNTICO SUR Tromba de agua ...
2007-09-18T20:00:00Z 2007-09-19T18:00:00Z 11074 60904 FLORIDA Lluvia intensa ...

Seleccionar un subconjunto de columnas

Use el operador de proyecto para simplificar la vista y seleccionar un subconjunto específico de columnas. El uso project suele ser más eficaz y fácil de leer que ver todas las columnas.

Kusto 
StormEvents
| take 5
| project State, EventType, DamageProperty

Salida

State EventType DamageProperty
ATLÁNTICO SUR Tromba de agua 0
FLORIDA Lluvia intensa 0
FLORIDA Tornado 6200000
GEORGIA Viento de tormenta 2000
MISISIPÍ Viento de tormenta 20000

Enumerar valores únicos

Parece que hay varios tipos de tormentas en función de los resultados de la consulta anterior. Use el operador distinct para enumerar todos los tipos de tormenta únicos.

Kusto 
StormEvents 
| distinct EventType

Hay 46 tipos de tormentas en la tabla. Este es un ejemplo de 10 de ellos.

EventType
Viento de tormenta
Granizo
Riada
Sequía
Clima de invierno
Tormenta invernal
Nieve fuerte
Viento fuerte
Helada/Congelación
Inundación
...

Ordenar resultados

Para ver las inundaciones principales en Texas que causaron el mayor daño, use el operador de ordenación para organizar las filas en orden descendente en función de la DamageProperty columna. El criterio de ordenación predeterminado es descendente. Para ordenar de la A a la Z; especifique asc.

Kusto 
StormEvents
| where State == 'TEXAS' and EventType == 'Flood'
| sort by DamageProperty
| project StartTime, EndTime, State, EventType, DamageProperty

Salida

StartTime EndTime State EventType DamageProperty
2007-08-18T21:30:00Z 2007-08-19T23:00:00Z TEXAS Inundación 5000000
2007-06-27T00:00:00Z 2007-06-27T12:00:00Z TEXAS Inundación 1200000
2007-06-28T18:00:00Z 2007-06-28T23:00:00Z TEXAS Inundación 1000000
2007-06-27T00:00:00Z 2007-06-27T08:00:00Z TEXAS Inundación 750000
2007-06-26T20:00:00Z 2007-06-26T23:00:00Z TEXAS Inundación 750000
... ... ... ... ...

Filtrar por condición

El operador where filtra las filas de datos en función de determinados criterios.

La consulta siguiente busca eventos de storm en un específico State de un específico EventType.

Kusto 
StormEvents
| where State == 'TEXAS' and EventType == 'Flood'
| project StartTime, EndTime, State, EventType, DamageProperty

Hay 146 eventos que coinciden con estas condiciones. Este es un ejemplo de 5 de ellos.

StartTime EndTime State EventType DamageProperty
2007-01-13T08:45:00Z 2007-01-13T10:30:00Z TEXAS Inundación 0
2007-01-13T09:30:00Z 2007-01-13T21:00:00Z TEXAS Inundación 0
2007-01-13T09:30:00Z 2007-01-13T21:00:00Z TEXAS Inundación 0
2007-01-15T22:00:00Z 2007-01-16T22:00:00Z TEXAS Inundación 20000
2007-03-12T02:30:00Z 2007-03-12T06:45:00Z TEXAS Inundación 0
... ... ... ... ...

Filtrar por intervalo de fecha y hora

Use el entre el operador para filtrar los datos en función de un intervalo de tiempo específico.

La consulta siguiente busca todos los eventos de tormenta entre el 1 de agosto de 2007 y el 30 de agosto de 2007, junto con sus estados, tipos, horas de inicio y finalización. A continuación, los resultados se ordenan en orden ascendente por hora de inicio.

Kusto 
StormEvents
| where StartTime between (datetime(2007-08-01 00:00:00) .. datetime(2007-08-30 23:59:59))
| project State, EventType, StartTime, EndTime
| sort by StartTime asc

Salida

State Eventype StartTime EndTime
GEORGIA Calor excesivo 2007-08-01 00:00:00 2007-08-27 23:59:00
TENNESSEE Sequía 2007-08-01 00:00:00 2007-08-31 23:59:00
TENNESSEE Sequía 2007-08-01 00:00:00 2007-08-3123:59:00
CAROLINA DEL SUR Sequía 2007-08-01 00:00:00 2007-08-31 23:59:00
TENNESSEE Sequía 2007-08-01 00:00:00 2007-08-31 23:59:00
GEORGIA Calor excesivo 2007-08-01 00:00:00 2007-08-27 23:59:00
TENNESSEE Sequía 2007-08-01 00:00:00 2007-08-31 23:59:00
MINNESOTA Sequía 2007-08-01 00:00:00 2007-08-31 23:59:00
WISCONSIN Sequía 2007-08-01 00:00:00 2007-08-31 23:59:00
GEORGIA Calor excesivo 2007-08-01 00:00:00 2007-08-27 23:59:00
... ... ... ...

Obtener las n primeras filas

El operador superior devuelve las primeras n filas ordenadas por la columna especificada.

La consulta siguiente devuelve las cinco inundaciones de Texas que provocaron la propiedad más dañada.

Kusto 
StormEvents
| where State == 'TEXAS' and EventType == 'Flood'
| top 5 by DamageProperty
| project StartTime, EndTime, State, EventType, DamageProperty

Salida

StartTime EndTime State EventType DamageProperty
2007-08-18T21:30:00Z 2007-08-19T23:00:00Z TEXAS Inundación 5000000
2007-06-27T00:00:00Z 2007-06-27T12:00:00Z TEXAS Inundación 1200000
2007-06-28T18:00:00Z 2007-06-28T23:00:00Z TEXAS Inundación 1000000
2007-06-27T00:00:00Z 2007-06-27T08:00:00Z TEXAS Inundación 750000
2007-06-26T20:00:00Z 2007-06-26T23:00:00Z TEXAS Inundación 750000

Nota

El orden de los operadores es importante. Si lo pones top aquí where , obtendrás resultados diferentes. Esto se debe a que cada operador transforma los datos en orden. Para más información, consulte instrucciones de expresión tabular.

Creación de columnas calculadas

Los operadores de proyecto y extensión pueden crear columnas calculadas.

Use project para especificar solo las columnas que desea ver y usar extend para anexar la columna calculada al final de la tabla.

La consulta siguiente crea una columna calculada Duration con la diferencia entre y StartTimeEndTime. Puesto que solo queremos ver algunas columnas de selección, usar project es la mejor opción en este caso.

Kusto 
StormEvents
| where State == 'TEXAS' and EventType == 'Flood'
| top 5 by DamageProperty desc
| project StartTime, EndTime, Duration = EndTime - StartTime, DamageProperty

Salida

StartTime EndTime Duration DamageProperty
2007-08-18T21:30:00Z 2007-08-19T23:00:00Z 1.01:30:00 5000000
2007-06-27T00:00:00Z 2007-06-27T12:00:00Z 12:00:00 1200000
2007-06-28T18:00:00Z 2007-06-28T23:00:00Z 05:00:00 1000000
2007-06-27T00:00:00Z 2007-06-27T08:00:00Z 08:00:00 750000
2007-06-26T20:00:00Z 2007-06-26T23:00:00Z 03:00:00 750000

Si echa un vistazo a la columna calculada Duration , es posible que observe que la inundación que causó el mayor daño también fue la inundación más larga.

Use extend para ver la columna calculada Duration junto con todas las demás columnas. La Duration columna se agrega como la última columna.

Kusto 
StormEvents
| where State == 'TEXAS' and EventType == 'Flood'
| top 5 by DamageProperty desc
| extend Duration = EndTime - StartTime

Salida

StartTime EndTime ... Duration
2007-08-18T21:30:00Z 2007-08-19T23:00:00Z ... 1.01:30:00
2007-06-27T00:00:00Z 2007-06-27T12:00:00Z ... 12:00:00
2007-06-28T18:00:00Z 2007-06-28T23:00:00Z ... 05:00:00
2007-06-27T00:00:00Z 2007-06-27T08:00:00Z ... 08:00:00
2007-06-26T20:00:00Z 2007-06-26T23:00:00Z ... 03:00:00

Asignación de valores de un conjunto a otro

La asignación estática es una técnica útil para cambiar la presentación de los resultados. En KQL, una manera de realizar la asignación estática es mediante un diccionario dinámico y descriptores de acceso para asignar valores de un conjunto a otro.

Kusto 
let sourceMapping = dynamic(
  {
    "Emergency Manager" : "Public",
    "Utility Company" : "Private"
  });
StormEvents
| where Source == "Emergency Manager" or Source == "Utility Company"
| project EventId, Source, FriendlyName = sourceMapping[Source]

Salida

EventId Source FriendlyName
68796 Administrador de emergencia Público
... ... ...
72609 Compañía de utilidades Privada
... ... ...

Paso siguiente

Ahora que está familiarizado con los aspectos básicos de la escritura de consultas de Kusto, vaya al siguiente tutorial y aprenda a usar las funciones de agregación para obtener información más detallada sobre los datos.

Uso de funciones de agregación