Querylogboeken op de logboekpagina
KQL is de taal die wordt gebruikt om een query uit te voeren op de logboekgegevens in de Log Analytics-werkruimte. U kunt KQL-query's invoeren in Microsoft Sentinel en Microsoft Defender. In Microsoft Sentinel, dat is toegevoegd aan de Defender-portal, kunt u het queryvenster openen vanaf de pagina Geavanceerd zoeken of de Data Lake-verkenningspagina. In Microsoft Sentinel, in Azure Portal, biedt de pagina Logboeken toegang tot het queryvenster.
Selecteer in de Defender-portal, Onderzoek en reactie>opsporing>geavanceerde opsporing, of om ad-hoc interactieve KQL-query's uit te voeren op gegevens op lange termijn selecteert u KQL-query's van >>. In Azure Portal wordt de zoekpagina weergegeven onder Algemeen.
Voor Microsoft Sentinel in de Defender-portal hebt u verschillende opties voor het uitvoeren van KQL-query's. In deze les behandelen we de twee volgende opties:
- Geavanceerde opsporingspagina: In het queryvenster kunt u query's uitvoeren, query's opslaan, opgeslagen query's uitvoeren, een nieuwe waarschuwingsregel maken en exporteren. U kunt ook een resultaat koppelen aan een incident. De linkerkant bevat een lijst met tabellen en gerelateerde tabelvelden. Als u een query wilt uitvoeren, voert u de querytekst in en drukt u op de knop Uitvoeren. Queryresultaten worden weergegeven in het onderste gedeelte van het formulier.
- Data Lake-verkenningspagina: om ad-hoc interactieve KQL-query's uit te voeren op gegevens op lange termijn.
Als u Geavanceerde opsporing wilt gebruiken, selecteert u Onderzoek & antwoord>Opsporing>Geavanceerde opsporing.
Als u Data Lake-verkenning wilt gebruiken, selecteert uKQL-query's van >>.
Selecteer de juiste werkruimte in de werkruimtekiezer in het bovenste menu.
