Übung: Beispielabfragen

6 Minuten

In der vorherigen Einheit haben wir die allgemeine Struktur einer KQL-Abfrage untersucht. Lassen Sie uns nun versuchen, einige Beispielabfragen auszuführen.

Zugreifen auf Demoabfrageumgebungen

Einige der Produkte, die KQL verwenden, bieten kostenlose Umgebungen, die Sie zum Üben von Abfragen verwenden können. Wählen Sie eine der folgenden Registerkarten aus, die der Abfrageumgebung entspricht, die Sie verwenden möchten.

Azure Data Explorer bietet einen Hilfecluster mit verschiedenen Datentypen, die im Voraus geladen werden. Auf diesen Cluster kann über die Webbenutzeroberfläche von Azure Data Explorer zugegriffen werden.

Azure Data Explorer-Hilfecluster

Voraussetzungen

Für diese Umgebung ist ein Microsoft-Konto oder eine Microsoft Entra-Benutzeridentität erforderlich.

Ausführen der Beispielabfrage

Die folgende Abfrage beantwortet die Frage: „Was waren die 10 größten Sachschäden, die durch Hochwasser verursacht wurden?“

Abfrage ausführen

StormEvents
| where EventType == "Flood"
| sort by DamageProperty desc
| take 10

Im Folgenden finden Sie eine schrittweise Analyse der Verarbeitung der Daten durch die Abfrage.

Die Abfrage beginnt mit der StormEvents-Tabelle als tabellarische Eingabe.
Sie filtert nach Datensätzen, bei denen die EventType-Spalte Flood gleicht.
Die resultierende Liste wird basierend auf dem Wert in der DamageProperty-Spalte in absteigender Reihenfolge sortiert.
Schließlich werden die 10 besten Datensätze zurückgegeben.

Sowohl Microsoft Sentinel als auch Log Analytics in Azure Monitor verwenden die Demo-Umgebung, auf die Sie über die Suche nach und die Auswahl von Protokollen im Azure-Portal zugreifen können.

Demoumgebung für Log Analytics

Voraussetzungen

Für diese Umgebung ist ein Azure-Abonnement erforderlich. Erstellen Sie ein kostenloses Azure-Konto.

Ausführen der Beispielabfrage

Die folgende Abfrage beantwortet die Frage: „Was waren die ersten 10 Protokollabfragen mit der längsten Antwortdauer am vergangenen Tag?“

Abfrage ausführen

LAQueryLogs
| where TimeGenerated between (ago(24h) .. now())
| sort by ResponseDurationMs desc
| take 10

Im Folgenden finden Sie eine schrittweise Analyse der Verarbeitung der Daten durch die Abfrage.

Die Abfrage beginnt mit der LAQueryLogs-Tabelle als tabellarische Eingabe.
Sie filtert nach Datensätzen, bei denen die TimeGenerated-Spalte zwischen 24 Stunden und jetzt liegt, d. h. am vergangenen Tag.
Die resultierende Liste wird basierend auf dem Wert in der ResponseDurationMs-Spalte in absteigender Reihenfolge sortiert.
Schließlich werden die 10 besten Datensätze zurückgegeben.

Sie können auf den Azure Resource Graph-Explorer zugreifen, indem Sie im Azure-Portal nach Resource Graph-Explorer suchen und diesen auswählen.

Azure Resource Graph-Explorer

Voraussetzungen

Für diese Umgebung ist ein Azure-Abonnement erforderlich. Erstellen Sie ein kostenloses Azure-Konto.

Ausführen der Beispielabfrage

In der folgenden Abfrage wird die Frage beantwortet: „Was waren die ersten 10 Speicherressourcen, die zuletzt aktiviert wurden?“

resources
| where type contains 'storage'
| sort by todatetime(properties.encryption.services.blob.LastEnabledTime)
| take 10

Im Folgenden finden Sie eine schrittweise Analyse der Verarbeitung der Daten durch die Abfrage.

Die Abfrage beginnt mit der Resources-Tabelle als tabellarische Eingabe.
Sie filtert nach Datensätzen, bei denen die type-Spalte den Begriff Storage enthält.
Anschließend wird die sich ergebende Liste in absteigender Reihenfolge nach dem LastEnabledTime-Wert im dynamischen Feld namens properties sortiert.
Schließlich werden die 10 besten Datensätze zurückgegeben.

Übung: Beispielabfragen

Zugreifen auf Demoabfrageumgebungen

Voraussetzungen

Ausführen der Beispielabfrage

Feedback