Kusto 查询语言学习资源

演示环境

在 Azure 门户中的 Log Analytics 演示环境中练习 Kusto 查询语言语句。 这是免费的，但你需要一个 Azure 帐户。

与生产 Log Analytics 工作区一样，演示环境允许你：

• 选择要对其生成查询的表。 从“ 表 ”选项卡中，从按主题分组的列表中选择一个表。 展开主题以查看其中的表格。 展开表以查看其字段（列）。 双击表或字段名称，将其插入到查询窗口中的光标处。 在表名称后面键入查询的其余部分。

• 查找要研究或修改的现有查询。 选择“ 查询 ”选项卡以查看默认可用的查询列表。 或者，从按钮栏中选择 “查询 ”。 双击某个查询，将其插入到查询窗口中的光标处。

与演示环境中一样，在Microsoft Sentinel 日志 页上查询和筛选数据。 选择一个表并向下钻取以查看其列。 使用 列选择器 修改默认列，并设置查询的默认时间范围。 如果在查询中显式定义了时间范围，时间筛选器将不可用（灰显）。

如果Microsoft Sentinel 已载入 Defender 门户，请查询和筛选 Microsoft Defender 高级搜寻 页上的数据。 有关详细信息，请参阅 Microsoft Defender 门户中使用 Microsoft Sentinel 数据进行高级搜寻。

Azure 数据资源管理器

有关 Azure 数据资源管理器中的 KQL 的详细信息，请参阅：

• 教程：创建地理空间可视化效果
• 使用 Kusto 查询语言的 Azure 数据资源管理器中的数据分析
• 免费 Pluralsight 培训：Azure 数据资源管理器

Microsoft Fabric

有关 Microsoft Fabric 中的 KQL 的详细信息，请参阅 Microsoft Fabric 中的 Real-Time Analytics 入门。

Azure Monitor

有关 Azure Monitor 中的 KQL 的详细信息，请参阅：

• 教程：在 Azure Monitor 中使用 KQL 检测和分析异常
• 使用 Kusto 查询语言分析监视数据
• Koenig：适用于 Azure 管理员的 KQL

Microsoft Sentinel

有关 Microsoft Sentinel 中的 KQL 的详细信息，请参阅：

• 必须学习 KQL
• Udemy： Learn KQL for Microsoft Sentinel
• SC-200：使用 Kusto 查询语言为 Microsoft Sentinel 创建查询 （KQL）
• Infosec 训练：Kusto 查询语言 (KQL) 在线学习培训计划