了解参数化的 KQL 函数
调用 KQL 函数时,可以提供一组参数。 这是生成 ASIM 分析器的重要概念,因为它允许在返回结果之前使用动态值筛选函数结果。
首先,导航到Microsoft Sentinel 工作区中的日志。
以下示例函数返回自特定日期以来的 Azure 活动日志中的所有事件,该事件与特定类别匹配。
使用硬编码的值从以下查询开始。 这将验证查询是否按预期工作。
AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")
接下来,将硬编码的值替换为参数名称,然后选择“保存”并以“函数”格式保存。
AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam
输入函数名称作为 AzureActivityByCategory,然后创建两个参数:
| 类型 | 名称 | 默认值 |
|---|---|---|
| 字符串 | CategoryParam | “Administrative” |
| 日期/时间 | DateParam |
屏幕应如下图所示:
创建新查询。 然后输入:
AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))
