適用対象: ✅Microsoft Fabric✅Azure データ エクスプローラー✅Azure Monitor✅Microsoft Sentinel
Kusto クエリ言語 (KQL) を使用して、データの探索、パターンの検出、異常と外れ値の特定、統計モデルの構築などを行います。 KQL を初めて使用する場合や、スキルを向上させたい場合は、 次の学習リソースを使用します。
詳細については、 KQL の概要を参照してください。
デモ環境
Azure portal の Log Analytics デモ環境 で Kusto クエリ言語ステートメントを練習します。 無料ですが、Azure アカウントが必要です。
運用環境の Log Analytics ワークスペースと同様に、デモ環境では次のことができます。
クエリの作成対象にするテーブルを選択します。 [ テーブル ] タブで、トピック別にグループ化された一覧からテーブルを選択します。 トピックを展開して、そのテーブルを表示します。 テーブルを展開して、そのフィールド (列) を表示します。 テーブル名またはフィールド名をダブルクリックして、クエリ ウィンドウのカーソルに挿入します。 テーブル名の後にクエリの残りの部分を入力します。
調べたり変更したりする既存のクエリを検索します。 [ クエリ ] タブを選択すると、既定で使用可能なクエリの一覧が表示されます。 または、ボタン バーから [クエリ ] を選択します。 クエリをダブルクリックして、クエリ ウィンドウのカーソルに挿入します。
デモ環境と同様に、Microsoft Sentinel ログ ページでデータのクエリとフィルター処理を行います。 テーブルを選択し、ドリルダウンして列を表示します。 列の選択機能を使用して既定の列を変更し、クエリの既定の時間範囲を設定します。 クエリで時間範囲が明示的に定義されている場合、時間フィルターは使用できなくなります (淡色表示されます)。
Microsoft Sentinel が Defender ポータルにオンボードされている場合は、Microsoft Defender の高度なハンティング ページでデータのクエリとフィルター処理を行います。 詳細については、 Microsoft Defender ポータルの「Microsoft Sentinel データを使用した高度なハンティング」を参照してください。
KQL トレーニング
KQL の詳細については、以下をご覧ください。
- Pluralsight: KQL をゼロから学ぶ
- Kusto 探偵庁
- チュートリアル: 一般的な演算子について学習する
- チュートリアル: 集計関数を使用する
- チュートリアル: 複数のテーブルのデータを結合する
- Cloud Academy: Kusto クエリ言語の概要
Azure Data Explorer
Azure Data Explorer の KQL の詳細については、次を参照してください。
Microsoft Fabric
Microsoft Fabric の KQL の詳細については、「Microsoft Fabric での Real-Time Analytics の概要」を参照してください。
Azure Monitor
Azure Monitor の KQL の詳細については、次を参照してください。
Microsoft Sentinel
Microsoft Sentinel の KQL の詳細については、次を参照してください。