Kusto Sorgu Dili (KQL) veri kaynağından pencere araçları oluşturma

Çevrimiçi düzenle

Veritabanından olay ve uyarı verilerini getirmek için Kusto Sorgu Dili 'ni (KQL) kullanın.

İşlem

  1. Gösterge panosunu yapılandıröğesini tıklatın.

    Gösterge panosunu yapılandır ekranında, her bir gereçle ilgili ayrıntılarla birlikte, kullanılabilecek gereçlerden oluşan bir kitaplık görüntülenir.

  2. Yeni gereç yaratöğesini tıklatın.
  3. Yeni Gösterge Panosu Öğesi sayfasında, pencere bileşeni için bir ad ve açıklama girin.
  4. Sorgu bölümünde, veri kaynağı listesinden KQL ' i seçin ve bir KQL sorgusu girin.

    Örnek 1

    Aşağıdaki KQL sorgusu, son bir saat içinde toplam olay sayısını ve toplam ayrıştırılmamış olay sayısını döndürür. Bu sayıları kullanarak, verilerinizin ne kadarının normalleştirildiğine ilişkin öngörü sağlamak için ayrıştırılmamış olayların yüzdesini hesaplar. Sonuçlar bir pasta ya da çubuk grafikte görüntülenebilir:
    events
    | project event_uuid, low_level_categories, original_time
    | where original_time > ago(1h)
    | mv-expand category=low_level_categories to typeof(int)
    | summarize TotalEvents=count_distinct(event_uuid), UnparsedEvents=count_distinctif(event_uuid, category > 10000 and category < 11000)
    | project TotalEvents, UnparsedEvents, PctUnparsed=(UnparsedEvents/TotalEvents)*100

    Örnek 2

    Aşağıdaki KQL sorgusu, son bir saat içinde kullanıcı tarafından 8 'den büyük önem düzeyine sahip olayların toplam sayısını döndürür. Sonuçlar bir zaman serisi grafiğinde görüntülenebilir:
    events
| project
    unix_time=original_time,
    severity,
    User =user_id,
    Time=bin(unix_time, 60)
| where unix_time > ago(1h) and severity > 8 and isnotempty(User)
| summarize Events=count() by User, Time
| order by Time, Events desc
  5. İsteğe bağlı: KQL sorgusuna parametre ekleyin. Ortak parametrelerin ve varsayılan değerlerin kullanılması, pencere bileşenleriniz için ayrı ayrı sorgular oluşturmak ya da düzenlemek için gereken süreyi kısaltabilir.
    • Deyime varolan parametreleri eklemek için, Parametre Ekle simgesini tıklatın ve ardından her parametre için Ekle ' yi tıklatın.
    • Çalışma alanınıza bir parametre eklemek için Ekle'yi tıklatın, parametreye bir ad ve varsayılan değer verin ve Kaydet' i tıklatın.

      Bir panodaki pencere bileşenine ilk kez parametre ekledikten sonra, gösterge panosunda Parametreler kartı görünür. Pencere bileşeninden parametreleri kaldırırsanız ve bu gösterge panosundaki başka bir pencere bileşeni parametreyi kullanmazsa, Parametreler kartı kaybolur.

    • Parametrenin varsayılan değerini değiştirmek için, Parametreleri Görüntüle simgesini tıklatın ve varsayılan değeri ayarladıktan sonra Kaydet ' i tıklatın.

      Bir değiştirgenin varsayılan değerini değiştirdiğinizde, değiştirgenin çalışma alanınızda kullanıldığı her yerde değeri değiştirmiş olur. Ancak, değeri varsayılan olarak ayarlarsanız, yürürlükteki oturum değeri de bu değeri kullanır. Değeri varsayılan değer olarak ayarlamazsanız, güncellenen değişiklik yalnızca geçerli oturum için geçerlidir.

    • Önceden tanımlı SYSTEM:accountId parametresi, oturum açan kullanıcının hesap kimliğini döndürür. Parametre salt okunur ve varsayılan değeri değiştiremezsiniz.
    • Önceden tanımlanmış SYSTEM:time range parametresi, kullanıcının gösterge panosunda zaman tabanlı grafiklerde belirli bir zaman aralığını görüntülemek için bir zaman seçici kullanmasını sağlar. Aşağıdaki tablo, belirli zaman aralıklarını kullanan zaman ölçütlerini içeren KQL sorgularının örneklerini SYSTEM:time range parametresini kullanarak karşılaştırır:
      Tablo 1. Geçerli göreli zaman aralığını ve SYSTEM:timerange parametresini kullanarak, zaman ölçütlerini içeren KQL deyimlerine ilişkin örnekler
      Belirli bir zaman aralığını içeren KQL örnekleri SYSTEM:time range parametresini içeren KQL örnekleri 
      events_all
| where  original_time > ago(1h) 
| summarize dcount(data_source_id)
      		 
      events_all
| where  original_time {SYSTEM:timerange} 
| summarize dcount(data_source_id)
      		 
      events_all
| where  original_time between( ago(2h) .. ago(1h) ) 
| summarize dcount(data_source_id)
      		 
      events_all
| where  original_time {SYSTEM:timerange} 
| summarize dcount(data_source_id)
      		 
      events_all
| where  original_time > ago(2h) and original_time < ago(1h) 
| summarize dcount(data_source_id)
      		 
      events_all
| where  original_time > {SYSTEM:timerange:start} and original_time < {SYSTEM:timerange:end} 
| summarize dcount(data_source_id)
  6. Sorguyu Çalıştır' ı tıklatın.
    Pencere öğesini ilk oluşturduğunuzda, herhangi bir veri sonucu döndürülmezse grafikleri yapılandıramazsınız. Alanlardaki ölçütleri daha az katı olacak şekilde değiştirin ve sorguyu yeniden çalıştırın.
  7. Görünümler bölümünde bir gösterge panosu grafiği oluşturun.
    Aynı sorgudan birden çok görünüm ve grafik oluşturabileceğiniz için, görünüme benzersiz bir ad verin. Varsayılan olarak, grafiğin başlık ve başlık çubuğundaki durumu görüntülenir; bunları gizlemek için Diğer seçenekler simgesini tıklatın ve ayarları Kapalıolarak değiştirin.
  8. Bir grafik tipi seçin ve özellikleri yapılandırın. Hangi grafik tipinin kullanılacağına karar vermenize yardımcı olacak kullanım senaryoları için Pencere öğesi grafik tipleribaşlıklı konuya bakın.
    Grafik tipi Yönergeler
    Çubuk Çubuk grafik oluşturma
    Büyük Sayı Büyük sayı grafiği oluşturma
    Coğrafi Coğrafi grafik oluşturma
    Pasta Pasta grafik oluşturma
    Dağılım Dağılım grafiği oluşturma
    Çizelge biçiminde Çizelgeye göre grafik oluşturma
    Zaman Serisi Zaman serisi grafiği oluşturma
  9. Grafiğin görünümünü önizle ve Kaydet' i tıklatın.
    İpucu: Grafiğin etiketleri, kullanılan sorgulardan gelir. Bunlar önizlemede anlaşılamıyorsa, Görünüm bölümündeki etiketleri düzenleyin.