KQL(Kusto 쿼리 언어)은 데이터를 살펴보고 패턴을 발견하고, 변칙 및 이상값을 식별하고, 통계 모델링을 생성하는 등의 작업을 수행할 수 있는 강력한 도구입니다. KQL을 접하거나 KQL 기술을 개선하시겠습니까? 다음 학습 리소스를 살펴보세요.
KQL에 대한 자세한 내용은 KQL 개요를 참조하세요.
데모 환경
Azure Portal의 Log Analytics 데모 환경에서 Kusto 쿼리 언어 문을 연습할 수 있습니다. 이 연습 환경을 사용하려면 요금이 부과되지 않지만 액세스하려면 Azure 계정이 필요합니다.
프로덕션 환경의 Log Analytics와 마찬가지로 다음과 같은 여러 가지 방법으로 사용할 수 있습니다.
쿼리를 빌드할 테이블을 선택합니다. 기본 테이블 탭(왼쪽 위에 있는 빨간색 사각형에 표시됨)에서 토픽별로 그룹화된 테이블 목록(왼쪽 아래에 표시됨)을 통해 테이블을 선택합니다. 토픽을 펼쳐 개별 테이블을 확인합니다. 각 테이블을 추가로 펼쳐 모든 필드(열)를 확인할 수 있습니다. 테이블 또는 필드 이름을 두 번 클릭하면 쿼리 창의 커서 지점에 배치됩니다. 아래와 같이 테이블 이름 뒤에 쿼리의 나머지 부분을 입력합니다.
연구하거나 수정할 기존 쿼리를 찾습니다. 쿼리 탭(왼쪽 위에 있는 빨간색 사각형에 표시됨)을 선택하여 기본 제공 쿼리 목록을 확인합니다. 또는 오른쪽 위에 있는 단추 모음에서 쿼리를 선택합니다. 쿼리를 두 번 클릭하여 커서 지점의 쿼리 창에 배치합니다.
이 데모 환경과 마찬가지로, Microsoft Sentinel 로그 페이지에서 데이터를 쿼리하고 필터링할 수 있습니다. 테이블을 선택하고 드릴다운하여 열을 확인할 수 있습니다. 열 선택을 사용하여 표시되는 기본 열을 수정할 수 있으며, 쿼리의 기본 시간 범위를 설정할 수 있습니다. 쿼리에서 시간 범위가 명시적으로 정의된 경우 시간 필터를 사용할 수 없습니다(회색으로 표시됨).
Microsoft Sentinel이 Defender 포털에 온보딩된 경우 Microsoft Defender 고급 헌팅 페이지에서 데이터를 쿼리하고 필터링할 수도 있습니다. 자세한 내용은 Microsoft Defender 포털에서 Microsoft Sentinel 데이터를 사용한 고급 헌팅을 참조 하세요.
일반 교육
KQL에 대한 일반적인 내용은 다음을 참조하세요.
- Pluralsight: KQL 처음부터
- Kusto 형사 기관
- 자습서: 일반 연산자 알아보기
- 자습서: 집계 함수 사용
- 자습서: 여러 테이블의 데이터 조인
- Cloud Academy: Kusto 쿼리 언어 소개
Azure Data Explorer(아주르 데이터 탐색기)
Azure Data Explorer의 KQL에 대한 자세한 내용은 다음을 참조하세요.
마이크로소프트 패브릭
Microsoft Fabric의 KQL에 대한 자세한 내용은 Microsoft Fabric에서 Real-Time Analytics 시작하기를 참조하세요.
Azure Monitor (Azure 모니터)
Azure Monitor의 KQL에 대한 자세한 내용은 다음을 참조하세요.
Microsoft Sentinel
Microsoft Sentinel의 KQL에 대한 자세한 내용은 다음을 참조하세요.