了解參數化的 KQL 函式

呼叫 KQL 函式時，您可以提供一組參數。這是建置 ASIM 剖析器的重要概念，因為它可讓您先使用動態值來篩選函式結果，然後再傳回結果。

首先，瀏覽至 Microsoft Sentinel 工作區中的 [記錄]。

下列範例函式會傳回 Azure 活動記錄中從特定日期之後符合特定類別的所有事件。

使用硬式編碼值從下列查詢開始。這會驗證查詢是否如預期般運作。

AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")

接下來，使用參數名稱取代硬式編碼值，然後依序選取 [儲存] 和 [另存函式] 來儲存函式。

AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam

輸入 AzureActivityByCategory 作為函式名稱，然後建立兩個參數：

類型	名稱	預設值
string	CategoryParam	"系統管理"
Datetime	DateParam

您的畫面看起來應該類似下圖：

Screenshot of K Q L Function properties.

建立新的查詢。然後輸入：

AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))

Screenshot of the K Q L calling Function.

意見反應