Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Язык запросов Kusto (KQL) — это мощный инструмент для изучения данных и выявления закономерностей, аномалий и выбросов, а также создания статистического моделирования и многого другого. Вы не знакомы с KQL или хотите улучшить навыки KQL? Ознакомьтесь со следующими ресурсами обучения.
Дополнительные сведения о KQL см. в обзоре KQL.
Демонстрационная среда
Инструкции Kusto Query Language можно применять в демонстрационной среде Log Analytics на портале Azure. Эта среда практики не взимается, но для доступа к ней требуется учетная запись Azure.
Как и Log Analytics в рабочей среде, его можно использовать различными способами:
Выбор таблицы, на основе которой будет создан запрос. На вкладке Таблицы, открывающейся по умолчанию (обведена красным прямоугольником в левом верхнем углу), выберите таблицу из списка таблиц, сгруппированных по разделам (слева ниже). Разверните раздел, чтобы просмотреть отдельные таблицы. Кроме того, можно развернуть каждую таблицу, чтобы просмотреть все ее поля (столбцы). Дважды щелкнув таблицу или имя поля, он помещает его в точку курсора в окне запроса. Введите остальную часть запроса после имени таблицы согласно указаниям ниже.
Поиск существующего запроса для изучения или изменения. Выберите вкладку Запросы (обведена красным прямоугольником в левом верхнем углу), чтобы просмотреть список доступных запросов. Можно также нажать кнопку Запросы на панели кнопок в правом верхнем углу. Дважды щелкните запрос, чтобы поместить его в окно запроса в точке курсора.
Как и в этой демонстрационной среде, вы можете запрашивать и фильтровать данные на странице Журналы в Microsoft Sentinel. Можно выбрать таблицу и просмотреть ее столбцы. Можно изменить столбцы, отображаемые по умолчанию, с помощью средства выбора столбцов, а также задать диапазон времени по умолчанию для запросов. Если диапазон времени явно определен в запросе, фильтр времени недоступен (серый).
Если Microsoft Sentinel подключен к порталу Defender, вы также можете запрашивать и фильтровать данные на странице расширенной охоты в Microsoft Defender. Дополнительные сведения см. в статье "Расширенная охота с данными Microsoft Sentinel" на портале Microsoft Defender.
Общие учебные курсы
Общие сведения о KQL см. в следующем разделе:
- Pluralsight: KQL с нуля
- Детективное агентство Kusto
- Руководство. Изучение распространенных операторов
- Руководство. Использование функций агрегирования
- Руководство. Присоединение данных из нескольких таблиц
- Cloud Academy: введение в язык запросов Kusto
Анализатор данных Azure
Дополнительные сведения о KQL в Azure Data Explorer см. в следующем разделе:
Microsoft Fabric
Дополнительные сведения о KQL в Microsoft Fabric см. в статье "Начало работы с аналитикой Real-Time в Microsoft Fabric".
Azure Monitor
Дополнительные сведения о KQL в Azure Monitor см. в следующем разделе:
Microsoft Sentinel
Дополнительные сведения о KQL в Microsoft Sentinel см. в следующей статье: