Parametrisoitujen KQL-funktioiden ymmärtäminen

  • 10 minuuttia

Kun kutsut KQL-funktioita, voit antaa joukon parametreja. Tämä on tärkeä käsite ASIM-jäsennysten luomisessa, sillä sen avulla voit suodattaa funktion tuloksia dynaamisilla arvoilla ennen tulosten palauttamista.

Ensiksi siirry lokeihin Microsoft Sentinel -työtilassa.

Seuraava esimerkkifunktio palauttaa kaikki tapahtumat Azure-toimintalokissa tietystä päivämäärästä lähtien ja jotka vastaavat tiettyä kategoriaa.

Aloita seuraavasta kyselystä käyttäen kiinteästi koodattuja arvoja. Tämä tarkistaa, että kysely toimii odotetulla tavalla.

AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")

Korvaa sitten kiinteästi koodatut arvot parametrien nimillä ja tallenna funktio valitsemalla Tallenna ja sitten Tallenna funktiona.

AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam

Anna funktion nimi nimellä AzureActivityByCategory ja luo sitten kaksi parametria:

Tyyppi Nimi Oletusarvo
merkkijono CategoryParam "Hallinnollinen"
päivämäärä/aika DateParam

Näyttösi pitäisi näyttää samalta kuin alla olevassa kuvassa:

Kuvakaappaus KQL-funktion ominaisuuksista.

Luo uusi kysely. Kirjoita sitten:

AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))

Kuvakaappaus KQL-kyselystä, joka kutsuu parametrisoitua funktiota.