Kusto 查詢語言 (KQL) 是一種功能強大的工具,可探索您的資料並探索模式、找出異常狀況和極端值、建立統計模型等。 您是 KQL 新手,或者想提升 KQL 技能嗎? 看看下列學習資源。
如需 KQL 的詳細資訊,請參閱 KQL 概觀。
示範環境
您可以在 Azure 入口網站的 Log Analytics 示範環境中練習 Kusto 查詢語言語句。 使用此練習環境不收費,但您需要 Azure 帳戶才能存取。
就像生產環境中的Log Analytics一樣,它可以用許多方式使用:
選擇要在其中建置查詢的資料表。 從預設的 [資料表] 索引標籤 (顯示於左上方的紅色矩形中),從依主題群組的資料表清單中選取資料表 (顯示於左下方)。 展開主題以查看個別資料表,您可以進一步展開每個資料表來查看其所有欄位 (資料行)。 按兩下資料表或功能變數名稱,會將它放在查詢視窗中游標的點。 在資料表名稱之後輸入查詢的其餘部分,如下所示。
尋找要研究或修改的現有查詢。 選取 [查詢] 索引標籤 (顯示於左上方的紅色矩形中),以查看現成可用的查詢清單。 或者,從右上方的按鈕列中選取 [查詢]。 雙擊查詢將它放在光標位置的查詢窗口中。
如同在此示範環境中,您可以在 Microsoft Sentinel 的 [記錄] 頁面中查詢和篩選資料。 您可以選取資料表並向下切入,以查看資料行。 您可以使用 [欄位選擇器] 來修改顯示的預設資料行,也可以為查詢設定預設時間範圍。 如果在查詢中明確定義時間範圍,時間篩選就無法使用(灰色)。
如果Microsoft Sentinel 已上線至 Defender 入口網站,您也可以在 Microsoft Defender 進階搜捕 頁面中查詢和篩選數據。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中使用 Microsoft Sentinel 數據的進階搜捕。
一般訓練
如需 KQL 的一般資訊,請參閱:
- Pluralsight:KQL 從頭開始
- Kusto 偵探機構
- 教學課程:了解常見的運算子
- 教學課程:使用聚合函數
- 教學課程:從多個數據表聯結數據
- Cloud Academy:Kusto 查詢語言簡介
Azure 資料探索器
如需 Azure 數據總管中 KQL 的詳細資訊,請參閱:
Microsoft網狀架構
如需 Microsoft Fabric 中 KQL 的詳細資訊,請參閱 開始使用 Microsoft Fabric 中的 Real-Time Analytics。
Azure 監視器
如需 Azure 監視器中 KQL 的詳細資訊,請參閱:
Microsoft Sentinel
如需Microsoft Sentinel 中 KQL 的詳細資訊,請參閱: