使用 Kusto 查詢語言 (KQL) 來探索您的數據、探索模式、識別異常和異常值、建置統計模型等等。 KQL 新手或想提高您的技能? 使用下列學習資源。
如需詳細資訊,請參閱 KQL 概觀。
示範環境
在 Azure 入口網站的 Log Analytics 示範環境中 練習 Kusto 查詢語言陳述式。 它是免費的,但您需要一個 Azure 帳戶。
就像您的生產 Log Analytics 工作區一樣,示範環境可讓您:
選擇要在其中建置查詢的資料表。 從 表格 索引標籤中,從依主題分組的清單中選取表格。 展開主題以查看其表格。 展開表格以查看其欄位。 按兩下表格或欄位名稱,將其插入查詢視窗的游標處。 在資料表名稱之後鍵入查詢的其餘部分。
尋找要研究或修改的現有查詢。 選取 [查詢] 索引標籤,以查看預設可用的查詢清單。 或者,從按鈕列中選取 查詢 。 按兩下以將查詢插入到查詢窗口的游標處。
如同在示範環境中,請在 Microsoft Sentinel 記錄 頁面上查詢和篩選資料。 選取資料表並向下切入以查看其資料行。 使用 [欄] 選擇器 來修改預設欄,並設定查詢的預設時間範圍。 如果在查詢中明確定義時間範圍,時間篩選就無法使用(灰色)。
如果 Microsoft Sentinel 已 上線至 Defender 入口網站,請在 Microsoft Defender 進階搜捕 頁面上查詢和篩選數據。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中使用 Microsoft Sentinel 數據的進階搜捕。
KQL 培訓
深入了解 KQL:
- Pluralsight:KQL 從頭開始
- Kusto 偵探機構
- 教學課程:了解常見的運算子
- 教學課程:使用聚合函數
- 教學課程:從多個數據表聯結數據
- Cloud Academy:Kusto 查詢語言簡介
Azure Data Explorer
如需 Azure 數據總管中 KQL 的詳細資訊,請參閱:
Microsoft Fabric
如需 Microsoft Fabric 中 KQL 的詳細資訊,請參閱 開始使用 Microsoft Fabric 中的 Real-Time Analytics。
Azure 監視器
如需 Azure 監視器中 KQL 的詳細資訊,請參閱:
Microsoft Sentinel
如需Microsoft Sentinel 中 KQL 的詳細資訊,請參閱: