Widgets aus einer Datenquelle für Kusto Query Language (KQL) erstellen
Verwenden Sie Kusto Query Language (KQL), um Ereignis-und Alertdaten aus der Datenbank abzurufen.
Vorgehensweise
- Klicken Sie auf Dashboard konfigurieren.
In der Anzeige Dashboard konfigurieren wird eine Bibliothek mit verfügbaren Widgets angezeigt, in der Details zu den einzelnen Widgets angezeigt werden.
- Klicken Sie auf Neues Widget erstellen.
- Geben Sie auf der Seite Neues Dashboardelement einen Namen und eine Beschreibung für das Widget ein.
- Wählen Sie im Abschnitt Abfrage in der Datenquellenliste KQL aus und geben Sie eine KQL-Abfrage ein.
Beispiel 1
Die folgende KQL-Abfrage gibt die Gesamtzahl der Ereignisse und die Gesamtzahl der nicht analysierten Ereignisse während der letzten Stunde zurück. Anhand dieser Zahlen wird der Prozentsatz nicht geparster Ereignisse berechnet, um einen Einblick in den Umfang der normalisierten Daten zu erhalten. Die Ergebnisse können in einem Kreis-oder Balkendiagramm angezeigt werden:events | project event_uuid, low_level_categories, original_time | where original_time > ago(1h) | mv-expand category=low_level_categories to typeof(int) | summarize TotalEvents=count_distinct(event_uuid), UnparsedEvents=count_distinctif(event_uuid, category > 10000 and category < 11000) | project TotalEvents, UnparsedEvents, PctUnparsed=(UnparsedEvents/TotalEvents)*100Beispiel 2
Die folgende KQL-Abfrage gibt die Gesamtzahl der Ereignisse mit einem Schweregrad größer als 8 nach Benutzer während der letzten Stunde zurück. Die Ergebnisse könnten in einem Zeitreihendiagramm angezeigt werden:events | project unix_time=original_time, severity, User =user_id, Time=bin(unix_time, 60) | where unix_time > ago(1h) and severity > 8 and isnotempty(User) | summarize Events=count() by User, Time | order by Time, Events desc - Optional: Fügen Sie Parameter zur KQL-Abfrage hinzu. Die Verwendung gängiger Parameter und Standardwerte kann die Zeit reduzieren, die zum Erstellen oder Bearbeiten einzelner Abfragen für Ihre Widgets benötigt wird.
- Klicken Sie zum Einfügen vorhandener Parameter in die Anweisung auf das Symbol Parameter einfügen und anschließend für jeden Parameter auf Einfügen .
- Wenn Sie einen Parameter zu Ihrem Arbeitsbereich hinzufügen wollen, klicken Sie auf Hinzufügen, geben dem Parameter einen Namen und einen Standardwert und klicken dann auf Speichern.
Nachdem Sie zum ersten Mal Parameter zu einem Widget in einem Dashboard hinzugefügt haben, wird die Parameter-Karte auf dem Dashboard angezeigt. Wenn Sie Parameter aus dem Widget entfernen und kein anderes Widget in diesem Dashboard den Parameter verwendet, wird die Parameter-Karte nicht mehr angezeigt.
- Um den Standardwert des Parameters zu ändern, klicken Sie auf das Symbol Parameter anzeigen und klicken Sie anschließend auf Speichern, nachdem Sie den Standardwert festgelegt haben.
Wenn Sie den Standardwert für einen Parameter ändern, ändern Sie den Wert überall dort, wo der Parameter in Ihrem Arbeitsbereich verwendet wird. Wenn Sie den Wert jedoch als Standardwert festlegen, verwendet der aktuelle Sitzungswert diesen Wert ebenfalls. Wenn Sie den Wert nicht als Standardwert festlegen, gilt die aktualisierte Änderung nur für die aktuelle Sitzung.
- Der vordefinierte Parameter SYSTEM:accountId gibt die Konto-ID des angemeldeten Benutzers zurück. Der Parameter ist schreibgeschützt und Sie können den Standardwert nicht ändern.
- Der vordefinierte Parameter SYSTEM:time range ermöglicht dem Benutzer die Verwendung eines Zeitselektors zum Anzeigen eines bestimmten Zeitbereichs in zeitbasierten Diagrammen im Dashboard. In der folgenden Tabelle werden Beispiele für KQL-Abfragen verglichen, die Zeitkriterien mit bestimmten Zeitbereichen enthalten, verglichen mit der Verwendung des Parameters SYSTEM:time range :
Tabelle 1. Beispiele für KQL-Anweisungen, die Zeitkriterien enthalten, unter Verwendung des aktuellen relativen Zeitbereichs und des Parameters SYSTEM:timerange KQL-Beispiele, die einen bestimmten Zeitraum enthalten KQL-Beispiele, die den Parameter SYSTEM:time range enthalten events_all | where original_time > ago(1h) | summarize dcount(data_source_id)events_all | where original_time {SYSTEM:timerange} | summarize dcount(data_source_id)events_all | where original_time between( ago(2h) .. ago(1h) ) | summarize dcount(data_source_id)events_all | where original_time {SYSTEM:timerange} | summarize dcount(data_source_id)events_all | where original_time > ago(2h) and original_time < ago(1h) | summarize dcount(data_source_id)events_all | where original_time > {SYSTEM:timerange:start} and original_time < {SYSTEM:timerange:end} | summarize dcount(data_source_id)
- Klicken Sie auf Abfrage ausführen.Wenn Sie das Widget zum ersten Mal erstellen, können Sie keine Diagramme konfigurieren, wenn keine Datenergebnisse zurückgegeben werden. Ändern Sie die Kriterien in den Feldern so, dass sie weniger streng sind, und führen Sie die Abfrage erneut aus.
- Erstellen Sie im Abschnitt Ansichten ein Dashboarddiagramm.Da Sie mit derselben Abfrage mehrere Ansichten und Diagramme erstellen können, geben Sie der Ansicht einen eindeutigen Namen. Standardmäßig werden Titel und Status des Diagramms in der Titelleiste angezeigt. Um sie auszublenden, können Sie auf das Symbol Weitere Optionen klicken und die Einstellungen auf Aus setzen.
- Wählen Sie einen Diagrammtyp aus und konfigurieren Sie die Eigenschaften. Anwendungsfälle zur Unterstützung bei der Entscheidung, welcher Diagrammtyp verwendet werden soll, finden Sie unter Widgetdiagrammtypen.
Diagrammtyp Hinweise Balken Balkendiagramm erstellen Große Zahl Große-Zahlen-Diagramm erstellen Länder Geografisches Diagramm erstellen Kreisdiagramm Kreisdiagramm erstellen Streudiagramm Streudiagramm erstellen Tabellarisch Tabellarisches Diagramm erstellen Zeitreihe Zeitreihendiagramm erstellen - Zeigen Sie eine Vorschau des Diagramms an und klicken Sie anschließend auf Speichern.Tipp: Die Beschriftungen für das Diagramm stammen aus den verwendeten Abfragen. Wenn sie in der Vorschau unleserlich sind, bearbeiten Sie die Beschriftungen im Abschnitt für die Ansicht.