KQL é o idioma usado para consultar os dados de log no workspace do Log Analytics. Você pode inserir consultas KQL no Microsoft Sentinel e no Microsoft Defender. No Microsoft Sentinel integrado ao portal do Defender, você pode acessar a janela de consulta na página de busca avançada ou na página de exploração do Data lake. No Microsoft Sentinel, no portal do Azure, a página Logs fornece acesso à janela de consulta.
No portal do Defender, selecione Investigação & respostaBuscaBusca avançada, ou para executar consultas KQL interativas ad hoc em dados de longo prazo, selecione Microsoft SentinelExploração de lago de dadosConsultas KQL. No portal do Azure, a página Pesquisa está listada em Geral.
Para o Microsoft Sentinel no portal do Defender, você tem várias opções para executar consultas KQL. Nesta unidade, abordaremos as duas seguintes opções:
- Página de busca avançada: a janela de consulta permite executar consultas, salvar consultas, executar consultas salvas, criar uma nova regra de alerta e exportar. Você também pode vincular um resultado a um incidente. O lado esquerdo fornece uma lista de tabelas e campos de tabela relacionados. Para executar uma consulta, insira o texto da consulta e pressione o botão executar. Os resultados da consulta aparecem na seção inferior do formulário.
- Página de exploração do Data Lake: para executar consultas KQL interativas ad hoc em dados de longo prazo.
Para usar Caça Avançada, selecione Investigação & resposta>Caça>Caça Avançada.
Para usar a Exploração do data lake, selecione Microsoft Sentinel>Exploração do data lake>Consultas KQL.
Selecione o espaço de trabalho apropriado no seletor de espaço de trabalho no menu no topo.
Para o Microsoft Sentinel no portal do Azure, você executa consultas KQL na página Logs. A janela de consulta permite executar consultas, salvar consultas, executar consultas salvas, criar uma nova regra de alerta e exportar. O lado esquerdo fornece uma lista de tabelas e campos de tabela relacionados. Para executar uma consulta, insira o texto da consulta e pressione o botão executar. Os resultados da consulta aparecem na seção inferior do formulário.
No menu de navegação, expanda a seção Geral e selecione Logs para abrir a janela de consulta.
A menos que você a desabilite, a página do hub de consultas será aberta com uma grande seleção de consultas de exemplo categorizadas.
Observação
Você pode impedir que a página do hub Consultas apareça movendo a opção do controle deslizante Sempre mostrar Hub Consultas para a esquerda ou desativado.
Feche o hub de Consultas selecionando o X no canto superior direito da página.
A página Nova consulta é aberta no modo Simples. Use o menu suspenso no canto superior direito da página para alternar para o modo KQL.
Insira sua consulta KQL no editor de consultas e selecione Executar para executar a consulta.
Observação
A captura de tela mostra os resultados com um conjunto específico de colunas selecionadas. Você pode personalizar as colunas mostradas nos resultados selecionando o botão Colunas à direita do painel de resultados. Você também pode modificar a consulta para especificar as colunas que deseja ver nos resultados.
