تمرين: أنواع مختلفة من استعلامات KQL

يقدم Azure Data Explorer مجموعة تعليمات مع أنواع مختلفة من البيانات التي تم تحميلها مسبقا. يمكنك الوصول إلى هذه المجموعة باستخدام واجهة مستخدم ويب Azure Data Explorer.

توضح الخطوات التالية كيفية إنشاء استعلام عن طريق تطبيق عوامل التشغيل على مجموعة بيانات جدولية تبدأ. يتكون كل استعلام من عبارات تعبير جدولي، وبعضها يحتوي على عوامل تشغيل. يأخذ المشغلون إدخالا جدوليا، وينفذون عملية، وينتجون إخراجا جدوليا جديدا.

1. ابدأ مع مجموعة بيانات جدولية.

   تشغيل الاستعلام

   StormEvents
   

   الإخراج: مجموعة البيانات الجدولية الكاملة من StormEvents الجدول.

2. تطبيق عامل تصفية باستخدام where عامل التشغيل لتحديد أحداث معينة، مثل أحداث الفيضانات . يقوم where عامل التشغيل بتصفية مجموعة البيانات الجدولية ويحافظ على البنية الجدولية.

   تشغيل الاستعلام

   StormEvents
   | where State == "FLORIDA"
   

   الإخراج: مجموعة بيانات جدولية من StormEvents السجلات في ولاية فلوريدا.

3. استخدم عامل تشغيل آخر لزيادة معالجة الإخراج الجدولي.

   تشغيل الاستعلام

   StormEvents
   | where State == "FLORIDA"
   | sort by InjuriesDirect desc
   

   الإخراج: مجموعة بيانات جدولية من StormEvents السجلات في فلوريدا تم فرزها بترتيب تنازلي استنادا InjuriesDirect إلى العمود.

يستخدم كل من Microsoft Sentinel وLog Analytics في Azure Monitor بيئة العرض التوضيحي، والتي يمكنك الوصول إليها عن طريق البحث عن السجلات وتحديدها في مدخل Microsoft Azure.

توضح الخطوات التالية كيفية إنشاء استعلام عن طريق تطبيق عوامل التشغيل على مجموعة بيانات جدولية تبدأ. يتكون كل استعلام من عبارات تعبير جدولي، وبعضها يحتوي على عوامل تشغيل. يأخذ المشغلون إدخالا جدوليا، وينفذون عملية، وينتجون إخراجا جدوليا جديدا.

1. ابدأ مع مجموعة بيانات جدولية.

   تشغيل الاستعلام

   LAQueryLogs
   

   الإخراج: مجموعة البيانات الجدولية الكاملة من LAQueryLogs الجدول.

2. تطبيق عامل تصفية باستخدام where عامل التشغيل لتحديد أحداث معينة. يقوم where عامل التشغيل بتصفية مجموعة البيانات الجدولية ويحافظ على البنية الجدولية.

   تشغيل الاستعلام

   LAQueryLogs
   | where ResponseCode != 200
   

   الإخراج: مجموعة بيانات جدولية من LAQueryLogs السجلات التي لا يبلغ رمز استجابتها 200.

3. استخدم عامل تشغيل آخر لزيادة معالجة الإخراج الجدولي.

   تشغيل الاستعلام

   LAQueryLogs
   | where ResponseCode != 200
   | sort by ResponseDurationMs desc
   

   الإخراج: مجموعة بيانات جدولية من LAQueryLogs السجلات التي لا يتم فرز رمز استجابتها بترتيب تنازلي استنادا ResponseDurationMsإلى .

يمكنك الوصول إلى Azure Resource Graph Explorer عن طريق البحث عن Resource Graph Explorer وتحديده في مدخل Microsoft Azure.

توضح الخطوات التالية كيفية إنشاء استعلام عن طريق تطبيق عوامل التشغيل على مجموعة بيانات جدولية تبدأ. يتكون كل استعلام من عبارات تعبير جدولي، وبعضها يحتوي على عوامل تشغيل. يأخذ المشغلون إدخالا جدوليا، وينفذون عملية، وينتجون إخراجا جدوليا جديدا.

1. ابدأ مع مجموعة بيانات جدولية.

   resources
   

   الإخراج: مجموعة البيانات الجدولية الكاملة من resources الجدول.

2. تطبيق عامل تصفية باستخدام where عامل التشغيل لتحديد أحداث معينة. يقوم where عامل التشغيل بتصفية مجموعة البيانات الجدولية ويحافظ على البنية الجدولية.

   resources
   | where location == "eastus"
   

   الإخراج: مجموعة بيانات جدولية في resourcesمنطقة eastus .

3. استخدم عامل تشغيل آخر لزيادة معالجة الإخراج الجدولي.

   resources
   | where location == "eastus"
   | distinct subscriptionId
   

   الإخراج: مجموعة بيانات جدولية من معرفات الاشتراك مع resources في منطقة eastus .

في الاستعلام التالي، state وهي injuryThreshold متغيرات يمكن تعيين قيم لها وفقا لمتطلباتك المحددة. ثم يتم استخدام هذه المتغيرات داخل الاستعلام لتصفية StormEvents الجدول استنادا إلى المعايير المعرفة.

let state = "TEXAS";
let injuryThreshold = 10;
StormEvents
| where State == state and InjuriesDirect + InjuriesIndirect > injuryThreshold

في الاستعلام التالي، responseCodes هو متغير من نوع الصفيف الديناميكي الذي يحتوي على رموز الاستجابة. ثم يتم استخدام المتغير داخل الاستعلام لتصفية LAQueryLogs الجدول للسجلات مع رموز الاستجابة هذه.

let responseCodes=dynamic([400, 499]);
LAQueryLogs
| where ResponseCode in (responseCodes)
| sort by ResponseDurationMs desc

لا يتم دعم عبارات السماح في Azure Resource Graph.