使用 Kusto 查询语言(KQL)浏览数据、发现模式、识别异常和离群值、生成统计模型等。 不熟悉 KQL 或想要提高技能? 使用以下学习资源。
有关详细信息,请参阅 KQL 概述。
演示环境
在 Azure 门户中的 Log Analytics 演示环境中练习 Kusto 查询语言语句。 这是免费的,但你需要一个 Azure 帐户。
与生产 Log Analytics 工作区一样,演示环境允许你:
选择要对其生成查询的表。 从“ 表 ”选项卡中,从按主题分组的列表中选择一个表。 展开主题以查看其中的表格。 展开表以查看其字段(列)。 双击表或字段名称,将其插入到查询窗口中的光标处。 在表名称后面键入查询的其余部分。
查找要研究或修改的现有查询。 选择“ 查询 ”选项卡以查看默认可用的查询列表。 或者,从按钮栏中选择 “查询 ”。 双击某个查询,将其插入到查询窗口中的光标处。
与演示环境中一样,在Microsoft Sentinel 日志 页上查询和筛选数据。 选择一个表并向下钻取以查看其列。 使用 列选择器 修改默认列,并设置查询的默认时间范围。 如果在查询中显式定义了时间范围,时间筛选器将不可用(灰显)。
KQL 训练
详细了解 KQL:
Azure 数据资源管理器
有关 Azure 数据资源管理器中的 KQL 的详细信息,请参阅:
Microsoft Sentinel
有关 Microsoft Sentinel 中的 KQL 的详细信息,请参阅: