Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le langage de requête Kusto (KQL) est un outil permettant d’explorer vos données et d’y découvrir des modèles, d’identifier des anomalies et des valeurs hors norme, de créer une modélisation statistique, etc. Êtes-vous nouveau dans KQL ou voulez-vous améliorer vos compétences KQL ? Examinez les ressources d’apprentissage suivantes.
Pour plus d’informations sur KQL, consultez la vue d’ensemble de KQL.
Environnement de démonstration
Vous pouvez pratiquer des instructions Kusto Query Language dans un environnement de démonstration Log Analytics dans le portail Azure. L’utilisation de cet environnement d’entraînement est gratuite, mais vous devez disposer d’un compte Azure pour y accéder.
Comme Log Analytics dans votre environnement de production, il peut être utilisé de différentes manières :
Choisissez une table sur laquelle générer une requête. À partir de l’onglet Tables par défaut (affiché dans le rectangle rouge en haut à gauche), sélectionnez une table dans la liste des tables regroupées par rubriques (affichées en bas à gauche). Développez les rubriques pour afficher les différentes tables, et vous pouvez développer davantage chaque table pour voir tous ses champs (colonnes). Double-cliquez sur une table ou sur un nom de champ pour l’ajouter dans la fenêtre de requête à l’endroit où se trouve le curseur. Tapez le reste de votre requête après le nom de la table, comme indiqué ci-dessous.
Recherchez une requête existante à étudier ou à modifier. Sélectionnez l’onglet Requêtes (affiché dans le rectangle rouge en haut à gauche) pour afficher la liste des requêtes prêtes à l’emploi. Vous pouvez également sélectionner l’option Requêtes dans la barre de boutons située en haut à droite. Double-cliquez sur une requête pour la placer dans la fenêtre de requête au point du curseur.
Comme dans cet environnement de démonstration, vous pouvez interroger et filtrer les données dans la page Journaux de Microsoft Sentinel. Vous pouvez sélectionner une table et descendre dans la hiérarchie pour voir les colonnes. Vous pouvez modifier les colonnes par défaut affichées à l’aide du sélecteur de colonnes, et vous pouvez définir l’intervalle de temps par défaut pour les requêtes. Si l’intervalle de temps est défini explicitement dans la requête, le filtre temporel n’est pas disponible (grisé).
Si Microsoft Sentinel est intégré au portail Defender, vous pouvez également interroger et filtrer des données dans la page de chasse Avancée microsoft Defender. Pour plus d'informations, voir Chasse avancée avec les données Microsoft Sentinel dans le portail Microsoft Defender.
Formation générale
Pour obtenir des informations générales sur KQL, consultez :
- Pluralsight : KQL à partir de zéro
- Kusto Detective Agency
- Tutoriel : Découvrir les opérateurs courants
- Tutoriel : Utiliser des fonctions d’agrégation
- Tutoriel : Joindre des données à partir de plusieurs tables
- Cloud Academy : Présentation du langage de requête Kusto
Explorateur de données Azure
Pour plus d’informations sur KQL dans Azure Data Explorer, consultez :
Microsoft Fabric
Pour plus d’informations sur KQL dans Microsoft Fabric, consultez Prise en main de Real-Time Analytics dans Microsoft Fabric.
Azure Monitor
Pour plus d’informations sur KQL dans Azure Monitor, consultez :
Microsoft Sentinel
Pour plus d’informations sur KQL dans Microsoft Sentinel, consultez :