演習: サンプルクエリ

前のユニットでは、KQL クエリの一般的な構造を調べました。ここで、いくつかのサンプルクエリを実行してみましょう。

クエリのデモ環境にアクセスする

KQL を使用する一部の製品では、クエリの練習に使用できる無料の環境が用意されています。以下で、使用するクエリ環境に対応するタブを 1 つ選択してください。

Azure Data Explorer には、さまざまな種類のデータが事前に読み込まれたヘルプクラスターが用意されています。このクラスターには、Azure Data Explorer の Web UI を使用してアクセスできます。

この環境には、Microsoft アカウントまたは Microsoft Entra ユーザー ID が必要です。

次のクエリは、"洪水による物的損害の上位 10 件は何か" という質問に回答します。

StormEvents
| where EventType == "Flood"
| sort by DamageProperty desc
| take 10

以下では、クエリでデータが処理される方法について、順を追って分析します。

Microsoft Sentinel と Azure Monitor の Log Analytics はどちらも、Azure portal で検索して [ログ] を選択することでアクセスできるデモ環境を使用します。

この環境を使用するには、Azure サブスクリプションが必要です。無料の Azure アカウントを作成します。

次のクエリは、"過去 1 日で応答期間が最も長かったログクエリの上位 10 件は何か" という質問に回答します。

LAQueryLogs
| where TimeGenerated between (ago(24h) .. now())
| sort by ResponseDurationMs desc
| take 10

以下では、クエリでデータが処理される方法について、順を追って分析します。

Azure Resource Graph エクスプローラーには、Azure portal を検索して [Resource Graph エクスプローラー] を選択することでアクセスします。

この環境を使用するには、Azure サブスクリプションが必要です。無料の Azure アカウントを作成します。

次のクエリは、"最近有効になったストレージリソースの上位 10 個は何か" という質問に回答します。

resources
| where type contains 'storage'
| sort by todatetime(properties.encryption.services.blob.LastEnabledTime)
| take 10

以下では、クエリでデータが処理される方法について、順を追って分析します。