Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie Kusto Query Language (KQL), um Ihre Daten zu untersuchen, Muster zu entdecken, Anomalien und Ausreißer zu identifizieren, statistische Modelle zu erstellen und vieles mehr. Neu bei KQL oder möchten Sie Ihre Fähigkeiten verbessern? Verwenden Sie die folgenden Lernressourcen.
Weitere Informationen finden Sie in der KQL-Übersicht.
Demoumgebung
Üben Sie Kusto Query Language-Anweisungen in der Log Analytics-Demoumgebung im Azure-Portal. Es ist kostenlos, aber Sie benötigen ein Azure-Konto.
Wie Ihr Produktions-Log Analytics-Arbeitsbereich ermöglicht Ihnen die Demoumgebung Folgendes:
Auswählen einer Tabelle, für die eine Abfrage erstellt werden soll. Wählen Sie auf der Registerkarte "Tabellen " eine Tabelle aus der Liste aus, die nach Thema gruppiert ist. Erweitern Sie ein Thema, um die zugehörigen Tabellen anzuzeigen. Erweitern Sie eine Tabelle, um die zugehörigen Felder (Spalten) anzuzeigen. Doppelklicken Sie auf einen Tabellen- oder Feldnamen, um ihn am Cursor im Abfragefenster einzufügen. Geben Sie den Rest der Abfrage nach dem Tabellennamen ein.
Nach einer vorhandenen Abfrage suchen, die Sie untersuchen oder ändern möchten. Wählen Sie die Registerkarte "Abfragen " aus, um die Liste der standardmäßig verfügbaren Abfragen anzuzeigen. Alternativ können Sie "Abfragen " in der Schaltflächenleiste auswählen. Doppelklicken Sie auf eine Abfrage, um sie am Cursor im Abfragefenster einzufügen.
Wie in der Demoumgebung können Sie Daten auf der Seite "Microsoft Sentinel-Protokolle " abfragen und filtern. Wählen Sie eine Tabelle aus, und führen Sie einen Drilldown aus, um die zugehörigen Spalten anzuzeigen. Verwenden Sie die Spaltenauswahl , um die Standardspalten zu ändern und den Standardzeitbereich für Abfragen festzulegen. Wenn der Zeitbereich explizit in der Abfrage definiert ist, ist der Zeitfilter nicht verfügbar (abgeblendet).
Wenn Microsoft Sentinel in das Defender-Portal integriert ist, können Sie Daten auf der Microsoft Defender Advanced-Suchseite abfragen und filtern. Weitere Informationen finden Sie unter Erweiterte Bedrohungssuche mit Daten von Microsoft Sentinel im Microsoft Defender-Portal.
KQL-Schulung
Weitere Informationen zu KQL:
- Pluralsight: KQL von Grund auf neu
- Kusto Detective Agency
- Tutorial: Kennenlernen gängiger Operatoren
- Lernprogramm: Verwenden von Aggregationsfunktionen
- Lernprogramm: Verknüpfen von Daten aus mehreren Tabellen
- Cloud Academy: Einführung in die Kusto-Abfragesprache
Azure-Daten-Explorer
Weitere Informationen zu KQL im Azure-Daten-Explorer finden Sie unter:
Microsoft Fabric
Weitere Informationen zu KQL in Microsoft Fabric finden Sie unter "Erste Schritte mit Real-Time Analytics in Microsoft Fabric".
Azure Monitor
Weitere Informationen zu KQL in Azure Monitor finden Sie unter:
Microsoft Sentinel
Weitere Informationen zu KQL in Microsoft Sentinel finden Sie unter: