查询语句类型

适用于:✅Azure 数据资源管理器Azure MonitorMicrosoft Sentinel

查询包含一个或多个“查询语句”,用分号 (;) 分隔。 其中至少有一个查询语句必须是表格表达式语句。 表格表达式语句会生成一个或多个表格结果。 必须用分号分隔任意两个语句。 当查询包含多个表格表达式语句时,查询将有一表格表达式语句,且这些语句生成的表格结果都由查询返回。

两种类型的查询语句:

  • 主要由用户使用的语句(用户查询语句),
  • 为支持这样的场景而设计的语句:中间层应用程序接受用户查询并将修改后的版本发送到 Kusto(应用程序查询语句)。

在这两种情况下,某些查询语句非常有用。

注意

查询语句的“效果”从该语句出现在查询中时开始,到查询结束时结束。 查询完成后,将释放其所有资源,且查询不会影响以后的查询(除副作用外,比如将查询记录在所有查询的日志中或缓存查询结果。)

用户查询语句

下面是用户查询语句的列表:

  • let 语句定义名称和表达式之间的绑定。 let 语句可用于将较长的查询分解为更易于理解的小型命名部分。

  • set 语句设置请求属性,该属性会影响查询的处理方式以及返回的结果。

  • 语句是最重要的查询语句,会返回“有趣的”数据作为结果。

应用程序查询语句

以下是用户查询语句的列表:

  • alias 语句 定义(同一群集或远程群集上)的另一个数据库的别名。

  • pattern 语句可由基于 Kusto 构建的应用程序用来向其用户公开查询语言以将其自身注入查询名称解析过程。

  • 语句由基于 Kusto 构建的应用程序用来防范注入式攻击(原理类似于命令参数保护 SQL 免于 SQL 注入攻击。)

  • restrict 语句由在 Kusto 的顶部构建的应用程序用来将查询限制于 Kusto 中的特定数据子集(包括限制对特定列和记录的访问。)