Consultar logs na página de logs
KQL é a linguagem usada para consultar os dados de log no espaço de trabalho do Log Analytics. Você pode inserir consultas KQL no Microsoft Sentinel e no Microsoft Defender. No Microsoft Sentinel integrado ao portal do Defender, você pode acessar a janela de consulta na página Caça avançada ou na página Exploração do data lake. No Microsoft Sentinel, no portal do Azure, a página Logs fornece acesso à janela de consulta.
No portal do Defender, selecione Investigação e resposta>Caça avançada>, ou, para executar consultas KQL interativas ad-hoc em dados de longo prazo, selecione Exploração do data lake do >>. No portal do Azure, a página Pesquisar está listada em Geral.
Para o Microsoft Sentinel no portal do Defender, você tem várias opções para executar consultas KQL. Nesta unidade abordamos as duas seguintes opções:
- Página de caça avançada: a janela de consulta permite executar consultas, salvar consultas, executar consultas salvas, criar uma nova regra de alerta e exportar. Você também pode vincular um resultado a um incidente. O lado esquerdo fornece uma lista de tabelas e campos de tabela relacionados. Para executar uma consulta, insira o texto da consulta e pressione o botão Executar. Os resultados da consulta aparecem na seção inferior do formulário.
- Página de exploração do data lake: para executar consultas KQL interativas ad-hoc em dados de longo prazo.
Para usar a caça avançada, selecione Investigação e resposta>Caça>avançada.
Para usar a exploração do Data Lake, selecione Microsoft Sentinel>exploração do Data Lake>consultas KQL.
Selecione o espaço de trabalho apropriado no seletor de espaço de trabalho no menu superior.
