Consulta de registros en la página de registros
KQL es el lenguaje que se usa para consultar los datos de registro en el área de trabajo de Log Analytics. Puede escribir consultas KQL en Microsoft Sentinel y Microsoft Defender. En Microsoft Sentinel incorporado al portal de Defender, puede acceder a la ventana de consulta desde la página Búsqueda avanzada o la página exploración del lago de datos. En Microsoft Sentinel, en Azure Portal, la página Registros proporciona acceso a la ventana de consulta.
En el portal de Defender, seleccione Investigación y respuesta>Cazado>Búsqueda avanzada, o bien para ejecutar consultas KQL interactivas ad hoc en datos a largo plazo, seleccione Microsoft Sentinel>Exploración de lago de datos>Consultas KQL. En Azure Portal, la página Buscar aparece en General.
Para Microsoft Sentinel en el portal de Defender, tiene varias opciones para ejecutar consultas KQL. En esta unidad se tratan las dos opciones siguientes:
- Página de búsqueda avanzada: la ventana de consulta permite ejecutar consultas, guardar consultas, ejecutar consultas guardadas, crear una nueva regla de alertas y exportarlas. También puede vincular un resultado a un incidente. El lado izquierdo proporciona una lista de tablas y campos de tabla relacionados. Para ejecutar una consulta, escriba el texto de la consulta y presione el botón Ejecutar. Los resultados de la consulta aparecen en la sección inferior del formulario.
- Página de exploración del lago de datos: para ejecutar consultas KQL interactivas ad hoc en datos a largo plazo.
Para usar búsqueda avanzada, seleccione Investigación y búsqueda de respuestas>>búsqueda avanzada.
Para usar la exploración del lago de datos, seleccione Microsoft Sentinel>Exploración del lago de datos>Consultas KQL.
Seleccione el área de trabajo adecuada en el selector del área de trabajo en el menú superior.
