Azure - 尝试使用一下Kusto Query Language(KQL)

宝桥南山2025-12-08 9:48

1.简单介绍

微软的产品中有时会看到KQL(Kusto Query Language)的身影,比如在Azure Monitor, Azure Sentinel, Microsoft Fabric等服务平台进行数据查询时候,可能会使用到KQL。Microsoft Fabric中的Real-time eventstreams最后有可能存储到eventhouse的KQL database中,这时候也是使用KQL进行查询操作的。相对于SQL, KQL更加简洁,但是一般需要通过transformer来将KQL转换成engine的native language。SQL相对KQL更通用一些,同时有更多内置的functions可以使用。

这边将尝试简单使用一下KQL进行log查询

2.具体说明

KQL是一个强大的查询语言,可以用来查询结构化,半结构化,非结构化的数据的。

KQL的语句分成三种类型

  1. Tabular expression statement
  • 输入和输出都是table类型数据,语法如下,也可以参考mslearn文章
  1. Let statement
  • 为变量赋值的语句,和js有点像
  1. Set statement
  • 使用Set语句可以设置KQL 查询请求的属性,从而改变查询的方式和返回的结果

2.1 实践一下

假定以如下AppExceptiongs table的数据来进行KQL查询,

2.1.1 普通查询

  1. 获取两分钟内发生在特定ClientCity的app exection信息,

    AppExceptions
    | where TimeGenerated > ago(2min)
    | where ClientCity == "Washington"

点击Run按钮,发现有结果返回,

2.1.2 Project 的使用

Project可以选择要包含,删除,重命名在结果集中的列

假定已经获取了过去6小时内App exception的统计数据

假定只要ClientCity, CityStateOrProvince和ExceptionCount列就可以了,当在编辑窗口中输入project关键字时候,发现有5个操作可以使用,根据具体的场景选择即可。这边选择的是project-away,用来删除特定的列。

复制代码 
AppExceptions 
| where  TimeGenerated > ago(6hour)
| summarize ExceptionCount=  count() by ClientStateOrProvince, ClientCity, ClientCountryOrRegion
| order by ExceptionCount desc 
| where ClientCity != ""
| project-away ClientCountryOrRegion
2.1.3 Extend的使用

Extend可以创建一个计算列并将新列添加到结果集中

假定当前已经使用KQL语句查询出App usage的数据,现在打算基于ResourceUri列,使用extend新建一个列,要求移除前面的/subscriptions

复制代码 
Usage 
| where  TimeGenerated > ago(6hour)
| project  TimeGenerated, ResourceUri,DataType, Solution
| extend ResourceUriUpdated = substring(ResourceUri,string_size("/subscriptions"),string_size(ResourceUri) - string_size("/subscriptions"))
| project-away ResourceUri

运行之后,结果中多出来新建的列ResourceUriUpdated,同时之前的ResourceUri列也删除了。

2.1.4 使用render制作chart

按照ClientCity统计过去1小时内出现的App exection

复制代码 
AppExceptions 
| where  TimeGenerated > ago(1hour) 
| summarize count() by ClientCity
| render piechart
2.1.5 Let的使用

let语句允许声明和重用变量,可以声明动态表或者列表

对特定时间段内发生的App exception进行数量统计,

2.1.6 Set的使用

set可以通过设置请求属性来改变KQL的查询行为和返回结果,比如设置query_take_max_records来限制返回记录的数量,类似于 | take <number>

2.1.7 其他

以上只尝试了KQL其中几个Operator/Function,更多的可以参考mslearn文章

微软也提供了KQL explorer和KQL CLI来更方便地使用KQL。

3.总结

本文简单记录了一下KQL的使用过程。KQL的细节其实也挺多的。当前随着大语言模型的普及,我们可以使用Microsoft 365 Copilot或者GitHub Copilot进行KQL语句的生成,这样我们只需要用自然语言来描述需求,Copilot就能生成一个KQL语句给我们了。

本文如果哪里有错误,麻烦告之,谢谢谢谢!

相关推荐
lkbhua莱克瓦2436 分钟前
基础-函数
开发语言·数据库·笔记·sql·mysql·函数
今天有个Bug1 小时前
【计算机毕业设计】流浪动物救助平台 - SpringBoot+Vue
sql·mysql·spring·vue·毕业设计·课程设计
l1t4 小时前
一个postgresql奇怪慢查询现象的原因和解决
数据库·sql·postgresql·性能优化
老狼买了个克5 小时前
Inventor 二次开发从入门到精通(12)高级应用
microsoft·二次开发·cad二次开发·机械设计·inventor·机械制造
lkbhua莱克瓦248 小时前
基础-SQL-DML
开发语言·数据库·笔记·sql·mysql
QT 小鲜肉9 小时前
【Linux命令大全】001.文件管理之mdu命令(实操篇)
linux·运维·服务器·chrome·笔记·microsoft
l1t9 小时前
PostgreSQL Distinct On 关键字的用法
数据库·sql·postgresql
大明二代9 小时前
基于 Microsoft Graph API 与 React Email 构建现代化邮件发送系统
前端·react.js·microsoft
2401_832298109 小时前
云服务器 vs 传统物理服务器,企业该如何选择?
sql
阿蒙Amon10 小时前
C#每日面试题-简述可空类型
microsoft·面试·c#
热门推荐
01GitHub 镜像站点02从快手“12·22”直播攻击事件看:一次教科书式的业务层饱和攻击03电脑检测软件—图吧工具箱04Web安全中SQL注入绕过WAF的具体手法和实战案例05Linux下V2Ray安装配置指南063D 圣诞树网页代码07UV安装并设置国内源08SQLmap 完整使用指南:环境搭建 + 命令详解 + 实操案例09jdk21下载、安装(Windows、Linux、macOS)10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)