Sebelumnya

Berikutnya

Latihan: Berbagai jenis kueri KQL

Selesai

Sekarang, mari kita ambil apa yang Anda pelajari tentang struktur dan penggunaan berbagai jenis pernyataan kueri dan menulis beberapa kueri.

Kueri dengan pernyataan ekspresi tabular

Pernyataan ekspresi tabular sangat mendasar dalam KQL karena memungkinkan kami memfilter dan memanipulasi data tabular untuk mengembalikan hasil yang diinginkan.

Mari kita lihat contohnya. Pilih tab yang relevan untuk lingkungan Anda.

Azure Data Explorer

Azure Data Explorer menawarkan kluster bantuan dengan berbagai jenis data yang dimuat sebelumnya. Kluster ini dapat diakses menggunakan antarmuka pengguna web Azure Data Explorer.

Kluster bantuan Azure Data Explorer

Langkah-langkah berikut menunjukkan cara membuat kueri dengan menerapkan operator ke himpunan data tabular awal. Setiap kueri terdiri dari pernyataan ekspresi tabular, beberapa di antaranya berisi operator. Operator mengambil input tabular, melakukan operasi, dan menghasilkan output tabular baru.

1. Mulailah dengan himpunan data tabular.

   Menjalankan kueri

   StormEvents
   

   Output: Himpunan data tabular lengkap dari StormEvents tabel.

2. Terapkan filter menggunakan where operator untuk memilih peristiwa tertentu, seperti peristiwa Banjir . Operator where memfilter himpunan data tabular dan mempertahankan struktur tabular.

   Menjalankan kueri

   StormEvents
   | where State == "FLORIDA"
   

   Output: Himpunan StormEvents data tabel rekaman dalam status FLORIDA.

3. Gunakan operator lain untuk memanipulasi output tabular lebih lanjut.

   Menjalankan kueri

   StormEvents
   | where State == "FLORIDA"
   | sort by InjuriesDirect desc
   

   Output: Himpunan StormEvents data tabular rekaman di FLORIDA diurutkan dalam urutan menurut berdasarkan InjuriesDirect kolom.

Azure Monitor/Microsoft Sentinel

Microsoft Sentinel dan Analitik Log di Azure Monitor menggunakan lingkungan demo yang diakses dengan mencari dan memilih Log di portal Azure.

Lingkungan demo Analitik Log

Langkah-langkah berikut menunjukkan cara membuat kueri dengan menerapkan operator ke himpunan data tabular awal. Setiap kueri terdiri dari pernyataan ekspresi tabular, beberapa di antaranya berisi operator. Operator mengambil input tabular, melakukan operasi, dan menghasilkan output tabular baru.

1. Mulailah dengan himpunan data tabular.

   Menjalankan kueri

   LAQueryLogs
   

   Output: Himpunan data tabular lengkap dari LAQueryLogs tabel.

2. Terapkan filter menggunakan where operator untuk memilih peristiwa tertentu. Operator where memfilter himpunan data tabular dan mempertahankan struktur tabular.

   Menjalankan kueri

   LAQueryLogs
   | where ResponseCode != 200
   

   Output: Himpunan LAQueryLogs data tabular rekaman yang kode responsnya bukan 200.

3. Gunakan operator lain untuk memanipulasi output tabular lebih lanjut.

   Menjalankan kueri

   LAQueryLogs
   | where ResponseCode != 200
   | sort by ResponseDurationMs desc
   

   Output: Himpunan LAQueryLogs data tabular rekaman yang kode responsnya tidak 200 diurutkan dalam urutan menurut berdasarkan ResponseDurationMs.

Azure Resource Graph

Azure Resource Graph Explorer diakses dengan mencari dan memilih Resource Graph Explorer di portal Azure.

Penjelajah Azure Resource Graph

Langkah-langkah berikut menunjukkan cara membuat kueri dengan menerapkan operator ke himpunan data tabular awal. Setiap kueri terdiri dari pernyataan ekspresi tabular, beberapa di antaranya berisi operator. Operator mengambil input tabular, melakukan operasi, dan menghasilkan output tabular baru.

1. Mulailah dengan himpunan data tabular.

   resources
   

   Output: Himpunan data tabular lengkap dari resources tabel.

2. Terapkan filter menggunakan where operator untuk memilih peristiwa tertentu. Operator where memfilter himpunan data tabular dan mempertahankan struktur tabular.

   resources
   | where location == "eastus"
   

   Output: Himpunan resources data tabular di wilayah eastus .

3. Gunakan operator lain untuk memanipulasi output tabular lebih lanjut.

   resources
   | where location == "eastus"
   | distinct subscriptionId
   

   Output: Himpunan data tabular ID langganan dengan resources di wilayah eastus .

Memperkenalkan variabel dengan pernyataan let

Pernyataan let memungkinkan kita untuk menentukan variabel dalam kueri KQL, membuatnya lebih mudah dibaca dan modular.

Mari kita lihat contohnya. Pilih tab yang relevan untuk lingkungan Anda.

Azure Data Explorer

Dalam kueri berikut, state dan injuryThreshold merupakan variabel yang dapat ditetapkan nilai sesuai dengan persyaratan spesifik Anda. Variabel ini kemudian digunakan dalam kueri untuk memfilter StormEvents tabel berdasarkan kriteria yang ditentukan.

Menjalankan kueri

let state = "TEXAS";
let injuryThreshold = 10;
StormEvents
| where State == state and InjuriesDirect + InjuriesIndirect > injuryThreshold

Azure Monitor/Microsoft Sentinel

Dalam kueri berikut, responseCodes adalah variabel jenis array dinamis yang berisi kode respons. Variabel kemudian digunakan dalam kueri untuk memfilter LAQueryLogs tabel untuk log dengan kode respons tersebut.

Menjalankan kueri

let responseCodes=dynamic([400, 499]);
LAQueryLogs
| where ResponseCode in (responseCodes)
| sort by ResponseDurationMs desc

Azure Resource Graph

Pernyataan let tidak didukung di Azure Resource Graph.

Lanjutkan