クシット照会言語 (KQL) データ・ソースからのウィジェットの作成

イベント・データおよびアラート・データをデータベースから取り出すには、草の木照会言語 (KQL) を使用します。

手順

「ダッシュボードの構成」をクリックします。

「ダッシュボードの構成」画面に、使用可能なウィジェットのライブラリーがそれぞれの詳細とともに表示されます。
「新規ウィジェットの作成」をクリックします。
「新規ダッシュボード項目」ページで、ウィジェットの名前と説明を入力します。
「照会」セクションで、データ・ソース・リストから「KQL」を選択し、KQL 照会を入力します。
例 1
以下の KQL 照会は、過去 1 時間におけるイベントの総数と未解析イベントの総数を返します。これらの数値を使用して、未解析イベントのパーセンテージを計算し、正規化されているデータの量に関する洞察を提供します。結果は、円グラフまたは棒グラフで表示できます。
```
events
    | project event_uuid, low_level_categories, original_time
    | where original_time > ago(1h)
    | mv-expand category=low_level_categories to typeof(int)
    | summarize TotalEvents=count_distinct(event_uuid), UnparsedEvents=count_distinctif(event_uuid, category > 10000 and category < 11000)
    | project TotalEvents, UnparsedEvents, PctUnparsed=(UnparsedEvents/TotalEvents)*100
```
例 2
以下の KQL 照会は、過去 1 時間における重大度が 8 を超えるイベントの総数をユーザー別に返します。結果は、以下のように時系列グラフで表示できます。
```
events
| project
    unix_time=original_time,
    severity,
    User =user_id,
    Time=bin(unix_time, 60)
| where unix_time > ago(1h) and severity > 8 and isnotempty(User)
| summarize Events=count() by User, Time
| order by Time, Events desc
```

オプション: KQL 照会にパラメーターを追加します。共通のパラメーターおよびデフォルト値を使用すると、ウィジェット用に個々の照会を作成したり編集したりするのにかかる時間を短縮できます。

既存のパラメーターをステートメントに挿入するには、「パラメーターの挿入」アイコンをクリックしてから、各パラメーターの「挿入」をクリックします。
ワークスペースにパラメーターを追加するには、「追加」をクリックし、パラメーターに名前とデフォルト値を指定して、「保存」をクリックします。
ダッシュボードのウィジェットに初めてパラメーターを追加すると、ダッシュボードに「パラメーター」カードが表示されます。ウィジェットからパラメーターを削除し、ダッシュボード内にそのパラメーターを使用するウィジェットがそれ以上ない場合は、パラメーター・カードは表示されなくなります。
パラメーターのデフォルト値を変更するには、パラメーターの表示アイコンをクリックし、デフォルト値を設定した後で「保存」をクリックします。
パラメーターのデフォルト値を変更すると、ワークスペースでパラメーターが使用されるすべての場所で値が変更されます。ただし、値をデフォルトとして設定する場合は、現行セッションの値でもその値が使用されます。値をデフォルト値として設定しない場合は、更新された変更は現行セッションにのみ適用されます。
事前定義 SYSTEM:accountId パラメーターは、ログインしているユーザーのアカウント ID を返します。パラメーターは読み取り専用であり、デフォルト値を変更することはできません。

事前定義された SYSTEM:time range パラメーターを使用すると、ユーザーは時間セレクターを使用して、特定の時刻範囲を時間ベースのグラフでダッシュボードに表示できます。以下の表では、特定の時刻範囲を使用する時間基準を含む KQL 照会と、 SYSTEM:time range パラメーターを使用する時間基準を比較しています。

特定の時刻範囲を含む KQL の例 SYSTEM:time range パラメーターを含む KQL の例

表 1. 現在の相対時刻範囲と SYSTEM:timerange パラメーターを使用した、時刻基準を含む KQL ステートメントの例
特定の時刻範囲を含む KQL の例	SYSTEM:time range パラメーターを含む KQL の例
`events_all \| where original_time > ago(1h) \| summarize dcount(data_source_id)`	`events_all \| where original_time {SYSTEM:timerange} \| summarize dcount(data_source_id)`
`events_all \| where original_time between( ago(2h) .. ago(1h) ) \| summarize dcount(data_source_id)`	`events_all \| where original_time {SYSTEM:timerange} \| summarize dcount(data_source_id)`
`events_all \| where original_time > ago(2h) and original_time < ago(1h) \| summarize dcount(data_source_id)`	`events_all \| where original_time > {SYSTEM:timerange:start} and original_time < {SYSTEM:timerange:end} \| summarize dcount(data_source_id)`

events_all
| where  original_time > ago(1h) 
| summarize dcount(data_source_id)

events_all
| where  original_time {SYSTEM:timerange} 
| summarize dcount(data_source_id)

events_all
| where  original_time between( ago(2h) .. ago(1h) ) 
| summarize dcount(data_source_id)

events_all
| where  original_time {SYSTEM:timerange} 
| summarize dcount(data_source_id)

events_all
| where  original_time > ago(2h) and original_time < ago(1h) 
| summarize dcount(data_source_id)

events_all
| where  original_time > {SYSTEM:timerange:start} and original_time < {SYSTEM:timerange:end} 
| summarize dcount(data_source_id)

「照会の実行」をクリックします。
最初にウィジェットを作成したときに、データ結果が返されない場合は、グラフを構成できません。フィールド内の基準をあまり厳しくないように変更して、照会を再実行してください。
「ビュー」セクションで、ダッシュボード・グラフを作成します。
同じ照会から複数のビューおよびグラフを作成できるため、ビューには固有の名前を付けてください。デフォルトでは、タイトル・バーにあるグラフのタイトルと状況が表示されます。それらを非表示にするには、その他のオプション・アイコンをクリックして、設定を「オフ」に切り替えます。

グラフ・タイプを選択し、プロパティーを構成します。使用するグラフ・タイプの決定に役立つユース・ケースについては、ウィジェット・グラフ・タイプを参照してください。

グラフのタイプ	説明
棒	棒グラフの作成
ビッグ・ナンバー	ビッグ・ナンバー・チャートの作成
地理	地理的グラフの作成
円グラフ	円グラフの作成
散布	散布グラフの作成
表形式	表形式のチャートの作成
時系列	時系列グラフの作成

グラフの外観をプレビューして、「保存」をクリックします。

ヒント: グラフのラベルは使用されている照会から取得されます。プレビューでわかりにくい場合は、「ビュー」セクションでラベルを編集します。