Создание запроса KQL
Теперь, когда вы знакомы с работой языков запросов и где можно использовать KQL, давайте рассмотрим способ создания запроса KQL.
Структура запросов KQL
Запрос KQL доступен только для чтения и позволяет выполнить обработку данных и вернуть результаты. Запрос указывается в виде обычного текста, используя модель потока данных, которую легко читать, создавать и автоматизировать.
Разные языки запросов часто имеют разные структуры. KQL организован на основе способа обработки данных. Каждый запрос KQL начинается с источника данных. Затем данные обрабатываются путем передачи условий, упорядочения и сокращения с помощью фильтра.
Обработка данных
Представьте, что данные перемещается через воронку обработки данных. Табличные входные данные — это начало воронки данных. Эти данные передаются в следующую строку и фильтруются или управляются с помощью оператора. Выжившие данные передаются в следующую строку и т. д. до прибытия в окончательные выходные данные запроса. Выходные данные запроса возвращаются в табличном формате.
Вы можете увидеть по форме фильтра, который данные в верхней части воронки начинаются больше, чем размер данных в конце. Действия, которые удаляют самые большие объемы данных, обычно используются в начале запроса. Таким образом, следующие операторы имеют меньший объем данных для обработки, и результат запроса возвращается быстро. На самом деле, одним из преимуществ KQL является его способность быстро обрабатывать огромные объемы очень разнообразных данных.