Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Sürüm açılan listesini kullanarak hizmetler arasında geçiş yapın. Gezinti hakkında daha fazla bilgi edinin.
Şunlar için geçerlidir: ✅ Microsoft Fabric ✅ Azure Veri Gezgini ✅ Azure İzleyici ✅ Microsoft Sentinel
Kusto Sorgu Dili (KQL) kullanarak Azure Veri Gezgini, Azure İzleyici Log Analytics, Microsoft Sentinel ve daha fazlasında sorgular yazarsınız. Bu öğretici, verilerinize erişmek ve bunları analiz etmek için kullandığınız temel KQL işleçlerini tanıtır.
Azure İzleyici'de günlükleri sorgulama hakkında daha ayrıntılı yönergeler için bkz . Günlük sorgularını kullanmaya başlama.
Not
Aradığınızı bulamadınız mı? Bu makale kısa süre önce aşağıdaki gibi bölünmüştür:
- Yaygın işleçleri öğrenin (bu makale)
- Toplama işlevlerini kullanma
- Birden çok tablodan verileri birleştirme
- Jeo-uzamsal görselleştirmeler oluşturma
Bu eğitimde şunları öğreniyorsunuz:
Bu öğreticideki örnekler, StormEventstablosunu kullanır ve bu tablo, yardım kümesinde genel kullanıma açıktır. Kendi verilerinizle keşfetmek için kendi ücretsiz kümenizi oluşturun.
Bu öğreticideki örneklerde, Hava durumu analizi örnek verilerindeStormEvents genel kullanıma açık olan tablo kullanılır.
Önkoşullar
Aşağıdaki sorguları çalıştırmak için örnek verilere erişimi olan bir sorgu ortamına ihtiyacınız vardır. Şu seçeneklerden birini kullanabilirsiniz:
- Microsoft hesabı veya Microsoft Entra kullanıcı kimliği
- Microsoft Fabric çalışma alanı ile Microsoft Fabric özellikli kapasite
Satırları say
Öncelikle, count işlecini kullanarak StormEvents tablosundaki storm kayıtlarının sayısını bulun.
StormEvents
| count
Çıktı
| Sayı |
|---|
| 59066 |
Veri örneğine bakın
Verileri algılamak için take işlecini kullanarak kayıtların bir örneğini görüntüleyin. Bu işleç tablodan belirtilen sayıda rastgele satır döndürür. Bu, genel veri yapısını ve içeriğini önizlemek için yararlı olabilir.
StormEvents
| take 5
Aşağıdaki tabloda döndürülen 22 sütundan yalnızca beşi gösterilmektedir. Çıkışın tamamını görmek için sorguyu çalıştırın.
| Başlangıç Zamanı | Bitiş Zamanı | EpisodeId | EventId | State | Etkinlik Türü | ... |
|---|---|---|---|---|---|---|
| 2007-09-20T21:57:00Z | 2007-09-20T22:05:00Z | 11078 | 60913 | FLORIDA | Kasırga | ... |
| 2007-12-20T07:50:00Z | 2007-12-20T07:53:00Z | 12554 | 68796 | MISSISSIPPI | Yıldırım Fırtınası Rüzgarı | ... |
| 2007-12-30T16:00:00Z | 2007-12-30T16:05:00Z | 11749 | 64588 | GEORGIA | Yıldırım Fırtınası Rüzgarı | ... |
| 2007-09-29T08:11:00Z | 2007-09-29T08:11:00Z | 11091 | 61032 | ATLANTIK GÜNEY | Su damlası | ... |
| 2007-09-18T20:00:00Z | 2007-09-19T18:00:00Z | 11074 | 60904 | FLORIDA | Şiddetli Yağmur | ... |
Sütunların alt kümesini seçme
Görünümü basitleştirmek ve sütunların belirli bir alt kümesini seçmek için proje işlecini kullanın. Kullanmak project genellikle tüm sütunları görüntülemekten daha verimlidir ve okunmasını kolaylaştırır.
StormEvents
| take 5
| project State, EventType, DamageProperty
Çıktı
| State | Etkinlik Türü | HasarÖzelliği |
|---|---|---|
| ATLANTIK GÜNEY | Su damlası | 0 |
| FLORIDA | Şiddetli Yağmur | 0 |
| FLORIDA | Hortum | 6200000 |
| GEORGIA | Gök Gürültülü Rüzgar | 2000 |
| MISSISSIPPI | Fırtınalı Kasırga | 20000 |
Benzersiz değerleri listeleme
Önceki sorgunun sonuçları birden çok fırtına türünü gösterir. Benzersiz fırtına türlerinin tümünü listelemek için distinct işlecini kullanın.
StormEvents
| distinct EventType
Tabloda 46 tür fırtına vardır. Burada bunlardan 10'unun bir örneği verilmiştir.
| Etkinlik Türü |
|---|
| Yıldırım Fırtınası Rüzgarı |
| Dolu |
| Ani Sel |
| Kuraklık |
| Kış Hava Durumu |
| Kış Fırtınası |
| Yoğun Kar |
| Kuvvetli Rüzgar |
| Donma/Donma |
| Sel |
| ... |
Sonuçları sıralama
Texas'ta en çok hasara neden olan en çok zarar veren taşkınları görüntülemek için sıralama işlecini kullanarak satırları sütuna göre DamageProperty azalan düzende düzenleyin. Varsayılan sıralama düzeni azalan düzendedir. Artan düzende sıralamak için belirtin asc.
StormEvents
| where State == 'TEXAS' and EventType == 'Flood'
| sort by DamageProperty
| project StartTime, EndTime, State, EventType, DamageProperty
Çıktı
| Başlangıç Zamanı | Bitiş Zamanı | State | Etkinlik Türü | HasarÖzelliği |
|---|---|---|---|---|
| 2007-08-18T21:30:00Z | 2007-08-19T23:00:00Z | TEXAS | Sel | 5.000.000 |
| 2007-06-27T00:00:00Z | 2007-06-27T12:00:00Z | TEXAS | Sel | 1200000 |
| 2007-06-28T18:00:00Z | 2007-06-28T23:00:00Z | TEXAS | Sel | 1000000 |
| 2007-06-27T00:00:00Z | 2007-06-27T08:00:00Z | TEXAS | Sel | 750000 |
| 2007-06-26T20:00:00Z | 2007-06-26T23:00:00Z | TEXAS | Sel | 750000 |
| ... | ... | ... | ... | ... |
Koşula göre filtrele
Where işleci belirli ölçütlere göre veri satırlarını filtreler.
Belirli bir EventType içindeki belirli bir State'deki fırtına olaylarını aşağıdaki sorgu arar.
StormEvents
| where State == 'TEXAS' and EventType == 'Flood'
| project StartTime, EndTime, State, EventType, DamageProperty
Bu koşullara uyan 146 olay vardır. Burada beş örnek verilmiştir.
| Başlangıç Zamanı | Bitiş Zamanı | State | Etkinlik Türü | HasarÖzelliği |
|---|---|---|---|---|
| 2007-01-13T08:45:00Z | 2007-01-13T10:30:00Z | TEXAS | Sel | 0 |
| 2007-01-13T09:30:00Z | 2007-01-13T21:00:00Z | TEXAS | Sel | 0 |
| 2007-01-13T09:30:00Z | 2007-01-13T21:00:00Z | TEXAS | Sel | 0 |
| 2007-01-15T22:00:00Z | 2007-01-16T22:00:00Z | TEXAS | Sel | 20000 |
| 2007-03-12T02:30:00Z | 2007-03-12T06:45:00Z | TEXAS | Sel | 0 |
| ... | ... | ... | ... | ... |
Tarih ve saat aralığına göre filtreleme
Verileri belirli bir zaman aralığına göre filtrelemek için işleç arasındaki
Aşağıdaki sorgu, 1 Ağustos 2007 ile 30 Ağustos 2007 arasındaki tüm fırtına olaylarını ve bunların durumlarını, olay türlerini, başlangıç saatlerini ve bitiş saatlerini bulur. Sorgu sonuçları başlangıç zamanına göre artan düzende sıralar.
StormEvents
| where StartTime between (datetime(2007-08-01 00:00:00) .. datetime(2007-08-30 23:59:59))
| project State, EventType, StartTime, EndTime
| sort by StartTime asc
Çıktı
| State | Eventype | Başlama Zamanı | Bitiş Zamanı |
|---|---|---|---|
| GEORGIA | Aşırı Isı | 2007-08-01 00:00:00 | 2007-08-27 23:59:00 |
| TENNESSEE | Kuraklık | 2007-08-01 00:00:00 | 2007-08-31 23:59:00 |
| TENNESSEE | Kuraklık | 2007-08-01 00:00:00 | 2007-08-3123:59:00 |
| GÜNEY CAROLINA | Kuraklık | 2007-08-01 00:00:00 | 2007-08-31 23:59:00 |
| TENNESSEE | Kuraklık | 2007-08-01 00:00:00 | 2007-08-31 23:59:00 |
| GEORGIA | Aşırı Isı | 2007-08-01 00:00:00 | 2007-08-27 23:59:00 |
| TENNESSEE | Kuraklık | 2007-08-01 00:00:00 | 2007-08-31 23:59:00 |
| MİNNESOTA | Kuraklık | 2007-08-01 00:00:00 | 2007-08-31 23:59:00 |
| WİSCONSİN | Kuraklık | 2007-08-01 00:00:00 | 2007-08-31 23:59:00 |
| GEORGIA | Aşırı Isı | 2007-08-01 00:00:00 | 2007-08-27 23:59:00 |
| ... | ... | ... | ... |
En üst n satırı getir
Üst işleç, belirtilen sütuna göre sıralanmış ilk n satırı döndürür.
Aşağıdaki sorgu, en fazla maddi zarara neden olan beş Texas selini listeler.
StormEvents
| where State == 'TEXAS' and EventType == 'Flood'
| top 5 by DamageProperty
| project StartTime, EndTime, State, EventType, DamageProperty
Çıktı
| Başlangıç Zamanı | Bitiş Zamanı | State | Etkinlik Türü | HasarÖzelliği |
|---|---|---|---|---|
| 2007-08-18T21:30:00Z | 2007-08-19T23:00:00Z | TEXAS | Sel | 5.000.000 |
| 2007-06-27T00:00:00Z | 2007-06-27T12:00:00Z | TEXAS | Sel | 1200000 |
| 2007-06-28T18:00:00Z | 2007-06-28T23:00:00Z | TEXAS | Sel | 1000000 |
| 2007-06-27T00:00:00Z | 2007-06-27T08:00:00Z | TEXAS | Sel | 750000 |
| 2007-06-26T20:00:00Z | 2007-06-26T23:00:00Z | TEXAS | Sel | 750000 |
Not
İşleçlerin sırası önemlidir.
top öğesini bu örnekte where öğesinden önce koyarsanız, farklı sonuçlar alırsınız. Her işleç verileri sırayla dönüştürür. Daha fazla bilgi için bkz. tablosal ifade deyimleri.
Hesaplanmış sütunlar oluşturma
Hesaplanan sütunlar oluşturmak için projeyi kullanabilir ve işleçleri genişletebilirsiniz .
Yalnızca görüntülemek istediğiniz sütunları belirtmek için kullanın project . Hesaplanan sütunu tablonun sonuna eklemek için kullanın extend .
Aşağıdaki sorgu, StartTime ve EndTime arasındaki farkı hesaplayan bir Duration hesaplanmış sütun oluşturur. Yalnızca birkaç seçme sütununu görüntülemek istediğinizden, project kullanmak bu durumda daha iyi bir seçimdir.
StormEvents
| where State == 'TEXAS' and EventType == 'Flood'
| top 5 by DamageProperty desc
| project StartTime, EndTime, Duration = EndTime - StartTime, DamageProperty
Çıktı
| BaşlamaZamanı | Bitiş Zamanı | Süre | HasarÖzelliği |
|---|---|---|---|
| 2007-08-18T21:30:00Z | 2007-08-19T23:00:00Z | 1.01:30:00 | 5.000.000 |
| 2007-06-27T00:00:00Z | 2007-06-27T12:00:00Z | 12:00:00 | 1200000 |
| 2007-06-28T18:00:00Z | 2007-06-28T23:00:00Z | 05:00:00 | 1000000 |
| 2007-06-27T00:00:00Z | 2007-06-27T08:00:00Z | 08:00:00 | 750000 |
| 2007-06-26T20:00:00Z | 2007-06-26T23:00:00Z | 03:00:00 | 750000 |
Hesaplanan Duration sütuna bakarsanız en çok hasara neden olan selin aynı zamanda en uzun sel olduğunu fark edebilirsiniz.
Hesaplanan extend sütunu diğer tüm sütunlarla birlikte görüntülemek için kullanınDuration. Sütun Duration son sütun olarak eklenir.
StormEvents
| where State == 'TEXAS' and EventType == 'Flood'
| top 5 by DamageProperty desc
| extend Duration = EndTime - StartTime
Çıktı
| BaşlamaZamanı | Bitiş Zamanı | ... | Süre |
|---|---|---|---|
| 2007-08-18T21:30:00Z | 2007-08-19T23:00:00Z | ... | 1.01:30:00 |
| 2007-06-27T00:00:00Z | 2007-06-27T12:00:00Z | ... | 12:00:00 |
| 2007-06-28T18:00:00Z | 2007-06-28T23:00:00Z | ... | 05:00:00 |
| 2007-06-27T00:00:00Z | 2007-06-27T08:00:00Z | ... | 08:00:00 |
| 2007-06-26T20:00:00Z | 2007-06-26T23:00:00Z | ... | 03:00:00 |
Değerleri bir kümeden diğerine eşleme
Statik eşleme, sonuçlarınızın sunumunu değiştirmek için kullanışlı bir tekniktir. KQL'de, değerleri bir kümeden diğerine eşlemek için dinamik sözlük ve erişimciler kullanarak statik eşleme gerçekleştirebilirsiniz.
let sourceMapping = dynamic(
{
"Emergency Manager" : "Public",
"Utility Company" : "Private"
});
StormEvents
| where Source == "Emergency Manager" or Source == "Utility Company"
| project EventId, Source, FriendlyName = sourceMapping[Source]
Çıktı
| EventId | Kaynak | Kullanıcı Dostu Adı |
|---|---|---|
| 68796 | Acil Durum Yöneticisi | Genel |
| ... | ... | ... |
| 72609 | Kamu Hizmeti Şirketi | Özel |
| ... | ... | ... |
Sonraki adım
Kusto sorguları yazmanın temellerini öğrendiğinize göre, bir sonraki öğreticiye gidin ve verileriniz hakkında daha derin içgörüler elde etmek için toplama işlevlerini kullanmayı öğrenin.