Azure - 尝试使用一下Kusto Query Language(KQL)

宝桥南山2025-12-08 9:48

1.简单介绍

微软的产品中有时会看到KQL(Kusto Query Language)的身影,比如在Azure Monitor, Azure Sentinel, Microsoft Fabric等服务平台进行数据查询时候,可能会使用到KQL。Microsoft Fabric中的Real-time eventstreams最后有可能存储到eventhouse的KQL database中,这时候也是使用KQL进行查询操作的。相对于SQL, KQL更加简洁,但是一般需要通过transformer来将KQL转换成engine的native language。SQL相对KQL更通用一些,同时有更多内置的functions可以使用。

这边将尝试简单使用一下KQL进行log查询

2.具体说明

KQL是一个强大的查询语言,可以用来查询结构化,半结构化,非结构化的数据的。

KQL的语句分成三种类型

  1. Tabular expression statement
  • 输入和输出都是table类型数据,语法如下,也可以参考mslearn文章
  1. Let statement
  • 为变量赋值的语句,和js有点像
  1. Set statement
  • 使用Set语句可以设置KQL 查询请求的属性,从而改变查询的方式和返回的结果

2.1 实践一下

假定以如下AppExceptiongs table的数据来进行KQL查询,

2.1.1 普通查询

  1. 获取两分钟内发生在特定ClientCity的app exection信息,

    AppExceptions
    | where TimeGenerated > ago(2min)
    | where ClientCity == "Washington"

点击Run按钮,发现有结果返回,

2.1.2 Project 的使用

Project可以选择要包含,删除,重命名在结果集中的列

假定已经获取了过去6小时内App exception的统计数据

假定只要ClientCity, CityStateOrProvince和ExceptionCount列就可以了,当在编辑窗口中输入project关键字时候,发现有5个操作可以使用,根据具体的场景选择即可。这边选择的是project-away,用来删除特定的列。

复制代码 
AppExceptions 
| where  TimeGenerated > ago(6hour)
| summarize ExceptionCount=  count() by ClientStateOrProvince, ClientCity, ClientCountryOrRegion
| order by ExceptionCount desc 
| where ClientCity != ""
| project-away ClientCountryOrRegion
2.1.3 Extend的使用

Extend可以创建一个计算列并将新列添加到结果集中

假定当前已经使用KQL语句查询出App usage的数据,现在打算基于ResourceUri列,使用extend新建一个列,要求移除前面的/subscriptions

复制代码 
Usage 
| where  TimeGenerated > ago(6hour)
| project  TimeGenerated, ResourceUri,DataType, Solution
| extend ResourceUriUpdated = substring(ResourceUri,string_size("/subscriptions"),string_size(ResourceUri) - string_size("/subscriptions"))
| project-away ResourceUri

运行之后,结果中多出来新建的列ResourceUriUpdated,同时之前的ResourceUri列也删除了。

2.1.4 使用render制作chart

按照ClientCity统计过去1小时内出现的App exection

复制代码 
AppExceptions 
| where  TimeGenerated > ago(1hour) 
| summarize count() by ClientCity
| render piechart
2.1.5 Let的使用

let语句允许声明和重用变量,可以声明动态表或者列表

对特定时间段内发生的App exception进行数量统计,

2.1.6 Set的使用

set可以通过设置请求属性来改变KQL的查询行为和返回结果,比如设置query_take_max_records来限制返回记录的数量,类似于 | take <number>

2.1.7 其他

以上只尝试了KQL其中几个Operator/Function,更多的可以参考mslearn文章

微软也提供了KQL explorer和KQL CLI来更方便地使用KQL。

3.总结

本文简单记录了一下KQL的使用过程。KQL的细节其实也挺多的。当前随着大语言模型的普及,我们可以使用Microsoft 365 Copilot或者GitHub Copilot进行KQL语句的生成,这样我们只需要用自然语言来描述需求,Copilot就能生成一个KQL语句给我们了。

本文如果哪里有错误,麻烦告之,谢谢谢谢!

相关推荐
tryCbest2 天前
数据库SQL学习
数据库·sql
cowboy2582 天前
mysql5.7及以下版本查询所有后代值(包括本身)
数据库·sql
科技前瞻观察2 天前
腾讯控股下的销售易,如何重塑中国CRM格局?
microsoft
努力的lpp2 天前
SQL 报错注入
数据库·sql·web安全·网络安全·sql注入
麦聪聊数据2 天前
统一 Web SQL 平台如何收编企业内部的“野生数据看板”?
数据库·sql·低代码·微服务·架构
山峰哥2 天前
吃透 SQL 优化:告别慢查询,解锁数据库高性能
服务器·数据库·sql·oracle·性能优化·编辑器
电商API&Tina2 天前
京东商品详情API接口接入与应用
数据库·microsoft
發糞塗牆2 天前
【Azure 架构师学习笔记 】- Azure AI(7)-Azure认知服务-Document Intelligence进阶使用
人工智能·ai·azure
轩情吖2 天前
MySQL初识
android·数据库·sql·mysql·adb·存储引擎
热门推荐
01GitHub 镜像站点02【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆03OpenClaw 使用和管理 MCP 完全指南04AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南05Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services06Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤07AI Agent 平台横评:ZeroClaw vs OpenClaw vs Nanobot08Window 10部署openclaw报错node.exe : npm error code 12809网站改了域名,如何查找?10让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南