你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Kusto 查询语言学习资源

适用于：✅Azure 数据资源管理器Azure Monitor✅ Sentinel

Kusto 查询语言 (KQL) 是一种功能强大的工具，用于探索数据、发现模式、识别异常和离群值、创建统计建模等。你是 KQL 新手还是想要提高 KQL 技能？查看以下学习资源。

有关 KQL 的详细信息，请参阅 KQL 概述。

演示环境

可以在 Azure 门户中的 Log Analytics 演示环境中练习 Kusto 查询语言语句。使用此练习环境不收取任何费用，但需要 Azure 帐户才能访问该环境。

与生产环境中的 Log Analytics 一样，可通过多种方式使用演示环境：

选择要对其生成查询的表。 在默认的“表”选项卡中（显示在左上方的红色长方形中），从已按主题分组的表列表中选择一个表（显示在左下方）。展开主题以查看各个表，还可以进一步展开每个表以查看其所有字段（列）。双击某个表或字段名称，可将该表或字段名称置于查询窗口中的光标处。在表名称后面键入查询的其余部分，如下所示。
查找要研究或修改的现有查询。 选择“查询”选项卡（显示在左上角的红色长方形中）以查看现成可用的查询列表。或者，从右上角的按钮栏中选择“查询”。双击某个查询，将其放置在查询窗口中光标所在的位置。

与在此演示环境中一样，可以在 Microsoft Sentinel“日志”页中查询和筛选数据。可以选择一个表并向下钻取以查看列。可以使用列选择器修改显示的默认列，并且可以设置查询的默认时间范围。如果在查询中显式定义了时间范围，时间筛选器将不可用（灰显）。

如果Microsoft Sentinel 已载入 Defender 门户，则还可以在 Microsoft Defender 高级搜寻 页中查询和筛选数据。有关详细信息，请参阅 Microsoft Defender 门户中使用 Microsoft Sentinel 数据进行高级搜寻。

有关 KQL 的一般信息，请参阅：

有关 Azure 数据资源管理器中的 KQL 的详细信息，请参阅：

有关 Microsoft Fabric 中的 KQL 的详细信息，请参阅 Microsoft Fabric 中的 Real-Time Analytics 入门。

有关 Azure Monitor 中的 KQL 的详细信息，请参阅：

有关 Microsoft Sentinel 中的 KQL 的详细信息，请参阅：