如何建置 KQL 查詢

  • 4 分鐘

現在您已經熟悉了查詢語言的運作方式以及可以使用 KQL 的地方,接下來讓我們來探討 KQL 查詢的建置方式。

KQL 查詢結構

KQL 查詢是一種負責處理資料並傳回結果的唯讀要求。 該要求是採用易於理解、撰寫及自動執行的資料流程模型,並採用純文字加以陳述。

不同的查詢語言通常有不同的結構。 KQL 是根據資料處理的方式來進行組織的。 每個 KQL 查詢都是以資料來源開頭。 然後,透過傳遞條件、排序及使用篩選條件進一步減少來處理資料。

資料處理

假設資料會經過資料處理漏斗。 表格式輸入是資料漏斗的開頭。 此資料會「輸送」到下一行,並使用運算子進行篩選或操作。 「存留」資料會輸送到後續的行,依此類推,直到到達最終查詢輸出為止。 此查詢輸出會以表格式格式傳回。

Schematic image showing how data is processed through a data processing funnel.

您可以經由篩選圖形發現漏斗「頂端」的資料開始大於結尾資料的大小。 移除最大資料量的步驟通常會在查詢的開頭使用。 這樣後面的運算子就能夠處理更少的資料量,並快速傳回查詢結果。 事實上,KQL 的優點之一就是能夠快速處理大量的高度變化資料。