הבנת פונקציות KQL המותאם לפרמטרים

10 דקות

בעת קריאה לפונקציות KQL, באפשרותך לספק ערכה של פרמטרים. זהו רעיון חשוב לבניית מנתחי ASIM מאחר שהוא מאפשר לך לסנן את תוצאות הפונקציה עם ערכים דינאמיים לפני החזרת התוצאות.

תחילה, נווט אל יומני רישום בסביבת העבודה Microsoft Sentinel.

הפונקציה לדוגמה הבאה מחזירה את כל האירועים ביומן הפעילות של Azure מאז תאריך מסוים ומתאימים לקטגוריה מסוימת.

התחל בשאילתה הבאה באמצעות ערכים מקודדים באופן קשיח. פעולה זו מוודאת שהשאילתה פועלת כצפוי.

AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")

לאחר מכן, החלף את הערכים המקודדים באופן קשיח בשמות פרמטרים ולאחר מכן שמור את הפונקציה על-ידי בחירה באפשרות שמור ולאחר מכן בחר שמור כ.

AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam

הזן שם פונקציה כ- AzureActivityByCategory ולאחר מכן צור שני פרמטרים:

סוג	שם	ערך ברירת מחדל
מחרוזת	קטגוריהפרם קטגוריה	"ניהולי"
תאריך ושעה	תאריכיםפרם תאריך

המסך שלך אמור להיראות כמו התמונה שלהלן:

צילום מסך של מאפייני הפונקציה K Q L.

יצירת שאילתה חדשה. לאחר מכן הזן:

AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))

צילום מסך של פונקציית השיחות K Q L.

משוב

האם עמוד זה היה מועיל?