Journaux de requête sur la page journaux
KQL est le langage utilisé pour interroger les données du journal dans l’espace de travail Log Analytics. Vous pouvez entrer des requêtes KQL dans Microsoft Sentinel et Microsoft Defender. Dans Microsoft Sentinel intégré au portail Defender, vous pouvez accéder à la fenêtre de requête à partir de la page de surveillance avancée ou de la page d’exploration du lac de données. Dans Microsoft Sentinel, dans le portail Azure, la page Journaux permet d’accéder à la fenêtre Requête.
Dans le portail Defender, sélectionnez Investigation et réponse>Hunting>Recherche avancée, ou pour exécuter des requêtes KQL interactives ponctuelles sur des données à long terme, sélectionnez Microsoft Sentinel>>. Dans le portail Azure, la page De recherche est répertoriée sous Général.
Pour Microsoft Sentinel dans le portail Defender, vous avez plusieurs options pour exécuter des requêtes KQL. Dans cette unité, nous abordons les deux options suivantes :
- Page de repérage avancée : la fenêtre de requête vous permet d’exécuter des requêtes, d’enregistrer des requêtes, d’exécuter des requêtes enregistrées, de créer une règle d’alerte et d’exporter. Vous pouvez également lier un résultat à un incident. La partie gauche fournit une liste de tables et de champs de table associés. Pour exécuter une requête, entrez le texte de la requête et appuyez sur le bouton Exécuter. Les résultats de la requête s’affichent dans la section inférieure du formulaire.
- Page d'exploration du data lake : pour exécuter des requêtes KQL interactives ad hoc sur des données sur le long terme.
Pour utiliser la chasse avancée, sélectionnez Enquête et réponse, >, Chasse avancée.
Pour utiliser l’exploration des lacs de données, sélectionnez Microsoft Sentinel>Exploration des lacs de données> et requêtes KQL.
Sélectionnez l’espace de travail approprié dans le sélecteur d’espace de travail dans le menu supérieur.
