適用対象: ✅Microsoft Fabric✅Azure データ エクスプローラー✅Azure Monitor✅Microsoft Sentinel
Kusto 照会言語 (KQL) は、データの探索とパターンの検出、異常値と外れ値の特定、統計モデリングの作成などを行うための強力なツールです。 KQL を初めて使用する場合や、KQL スキルを向上させたい場合は、 次の学習リソースを見てみましょう。
KQL の詳細については、「 KQL の概要」を参照してください。
デモ環境
Azure portal の Log Analytics デモ環境 で Kusto クエリ言語ステートメントを練習できます。 この練習環境を使用するのに料金はかかりませんが、アクセスするためには Azure アカウントが必要です。
運用環境の Log Analytics と同様に、これは多くの方法で使用できます。
クエリの作成対象にするテーブルを選択します。 既定の (左上の赤い四角形で示した) [テーブル] タブで、トピック別にグループ化されたテーブルの一覧 (左下に表示) からテーブルを選択します。 トピックを展開して個々のテーブルを表示します。各テーブルをさらに展開すると、すべてのフィールド (列) を表示できます。 テーブルまたはフィールド名をダブルクリックすると、それがクエリ ウィンドウ内のカーソルの位置に配置されます。 下で指示するように、テーブル名に続けて残りのクエリを入力します。
調べたり変更したりする既存のクエリを検索します。 (左上の赤い四角形で示した) [クエリ] タブを選択して、既定で使用できるクエリの一覧を表示します。 または、右上のボタン バーから [クエリ] を選択します。 クエリをダブルクリックして、カーソルの位置にあるクエリ ウィンドウに配置します。
このデモ環境と同様に、Microsoft Sentinel の [ログ] ページで、データのクエリ実行とフィルター処理を行えます。 テーブルを選択してドリルダウンすると、列を表示できます。 [列の選択] を使用して表示される既定の列を変更できます。また、クエリの既定の時間範囲を設定できます。 クエリで時間範囲が明示的に定義されている場合、時間フィルターは使用できなくなります (淡色表示されます)。
Microsoft Sentinel が Defender ポータルにオンボードされている場合は、Microsoft Defender の高度なハンティング ページでデータのクエリとフィルター処理を行うこともできます。 詳細については、 Microsoft Defender ポータルの「Microsoft Sentinel データを使用した高度なハンティング」を参照してください。
一般的なトレーニング
KQL に関する一般的な情報については、以下を参照してください。
- Pluralsight: KQL をゼロから学ぶ
- Kusto 探偵庁
- チュートリアル: 一般的な演算子について学習する
- チュートリアル: 集計関数を使用する
- チュートリアル: 複数のテーブルのデータを結合する
- Cloud Academy: Kusto クエリ言語の概要
アジュール データ エクスプローラー (Azure Data Explorer)
Azure Data Explorer の KQL の詳細については、次を参照してください。
Microsoft Fabric
Microsoft Fabric の KQL の詳細については、「Microsoft Fabric での Real-Time Analytics の概要」を参照してください。
Azure Monitor
Azure Monitor の KQL の詳細については、次を参照してください。
Microsoft Sentinel
Microsoft Sentinel の KQL の詳細については、次を参照してください。