Azure - 尝试使用一下Kusto Query Language(KQL)

1.简单介绍

微软的产品中有时会看到KQL(Kusto Query Language)的身影,比如在Azure Monitor, Azure Sentinel, Microsoft Fabric等服务平台进行数据查询时候,可能会使用到KQL。Microsoft Fabric中的Real-time eventstreams最后有可能存储到eventhouse的KQL database中,这时候也是使用KQL进行查询操作的。相对于SQL, KQL更加简洁,但是一般需要通过transformer来将KQL转换成engine的native language。SQL相对KQL更通用一些,同时有更多内置的functions可以使用。

这边将尝试简单使用一下KQL进行log查询

2.具体说明

KQL是一个强大的查询语言,可以用来查询结构化,半结构化,非结构化的数据的。

KQL的语句分成三种类型

  1. Tabular expression statement
  • 输入和输出都是table类型数据,语法如下,也可以参考mslearn文章
  1. Let statement
  • 为变量赋值的语句,和js有点像
  1. Set statement
  • 使用Set语句可以设置KQL 查询请求的属性,从而改变查询的方式和返回的结果

2.1 实践一下

假定以如下AppExceptiongs table的数据来进行KQL查询,

2.1.1 普通查询
  1. 获取两分钟内发生在特定ClientCity的app exection信息,

    AppExceptions
    | where TimeGenerated > ago(2min)
    | where ClientCity == "Washington"

点击Run按钮,发现有结果返回,

2.1.2 Project 的使用

Project可以选择要包含,删除,重命名在结果集中的列

假定已经获取了过去6小时内App exception的统计数据

假定只要ClientCity, CityStateOrProvince和ExceptionCount列就可以了,当在编辑窗口中输入project关键字时候,发现有5个操作可以使用,根据具体的场景选择即可。这边选择的是project-away,用来删除特定的列。

复制代码
AppExceptions 
| where  TimeGenerated > ago(6hour)
| summarize ExceptionCount=  count() by ClientStateOrProvince, ClientCity, ClientCountryOrRegion
| order by ExceptionCount desc 
| where ClientCity != ""
| project-away ClientCountryOrRegion
2.1.3 Extend的使用

Extend可以创建一个计算列并将新列添加到结果集中

假定当前已经使用KQL语句查询出App usage的数据,现在打算基于ResourceUri列,使用extend新建一个列,要求移除前面的/subscriptions

复制代码
Usage 
| where  TimeGenerated > ago(6hour)
| project  TimeGenerated, ResourceUri,DataType, Solution
| extend ResourceUriUpdated = substring(ResourceUri,string_size("/subscriptions"),string_size(ResourceUri) - string_size("/subscriptions"))
| project-away ResourceUri

运行之后,结果中多出来新建的列ResourceUriUpdated,同时之前的ResourceUri列也删除了。

2.1.4 使用render制作chart

按照ClientCity统计过去1小时内出现的App exection

复制代码
AppExceptions 
| where  TimeGenerated > ago(1hour) 
| summarize count() by ClientCity
| render piechart 
2.1.5 Let的使用

let语句允许声明和重用变量,可以声明动态表或者列表

对特定时间段内发生的App exception进行数量统计,

2.1.6 Set的使用

set可以通过设置请求属性来改变KQL的查询行为和返回结果,比如设置query_take_max_records来限制返回记录的数量,类似于 | take <number>

2.1.7 其他

以上只尝试了KQL其中几个Operator/Function,更多的可以参考mslearn文章

微软也提供了KQL explorer和KQL CLI来更方便地使用KQL。

3.总结

本文简单记录了一下KQL的使用过程。KQL的细节其实也挺多的。当前随着大语言模型的普及,我们可以使用Microsoft 365 Copilot或者GitHub Copilot进行KQL语句的生成,这样我们只需要用自然语言来描述需求,Copilot就能生成一个KQL语句给我们了。

本文如果哪里有错误,麻烦告之,谢谢谢谢!

相关推荐
唐青枫3 天前
MySQL JSON 实战详解:从存储、查询、更新到 JSON_TABLE 与索引
sql·mysql
掉头发的王富贵5 天前
【StarRocks】极限十分钟入门StarRocks
数据库·sql·mysql
zzzzzz31010 天前
9K Star 炸裂开源!这个 C 语言写的代码知识图谱,把 Linux 内核索引压缩到了 3 分钟
linux·服务器·sql
云技纵横12 天前
唯一索引 INSERT 死锁实战:5 秒复现交叉插入的 S 锁循环等待
sql·mysql
BD_Marathon14 天前
SQL学习指南——视图
数据库·sql
Data-Miner14 天前
大语言模型+智能体AI,122页PPT详解落地应用培训!
人工智能·microsoft·语言模型
2601_9620725514 天前
李梦娇常识4600问|题库|打印版
sql·华为od·华为·c#·华为云·.net·harmonyos
HackTwoHub14 天前
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全
Volunteer Technology14 天前
Flink Table API与SQL(一)
大数据·sql·flink
持敬chijing14 天前
Web渗透之SQL注入-常用sql语句
sql·安全·web安全·网络安全