NQL構文の概要

テーブルの指定

すべてのNQLクエリは、データを選択するテーブルを指定する短い文で始まります。テーブルを指定する構文は次のとおりです：

<namespace>.<table>

例えば、execution名前空間のeventsテーブル内のすべてのレコードを一覧表示するには、次のような文になります：

execution.events

構文のショートカット

名前空間とテーブルを入力する代わりに、事前定義されたショートカットを使用することもできます。最初に名前空間を付けずにテーブル名だけを入力すると、次のテーブルからデータを取得できます：

名前空間

テーブル

ショートカット

application

applications

applications

binary

binaries

binaries

campaign

campaigns

campaigns

device

devices

devices

user

users

例えば、device名前空間のdevicesテーブル内のすべてのレコードを一覧表示するには、device.devicesの代わりにdevicesと入力します。

devices

テーブルからデータを照会するために結果に含まれるテーブルフィールドを指定する必要はありません。システムには、レコードを特定するために最も関連性の高いデフォルトフィールドが含まれています。特定のテーブルに含まれるフィールドの詳細については、NQLデータモデルページを参照してください。特定のテーブルの他のフィールドにアクセスするには、NQLリストキーワードを使用します。

時間枠の指定

特定の期間にわたって結果をフィルタリングするオプションがあります。NQL文のテーブル名のすぐ後に時間枠の選択を配置します。必要に応じて、さまざまなデータ選択形式や時間精度を選択できます。例えば、過去の日数を指定することができます：

execution.crashes during past 7d

または特定の日付：

execution.crashes on Feb 8, 2024

また、次の在庫オブジェクトを照会するときに時間選択を使用することができます：デバイス、ユーザー、バイナリ。在庫オブジェクトに対して時間枠を指定すると、システムはオブジェクトのアクティビティの背後にあるイベントを参照します。

例えば、次のクエリは同じデータセットを参照します。

devices during past 7

devices 
| with device_performance.events during past 7

時間選択フォーマットに関する詳細情報は、NQL時間選択を参照してください。

クエリ結果のカスタマイズ

テーブルと時間枠を指定した後、キーワード、演算子、および関数を使用して、システムに追加の指示を提供することでクエリをさらに絞り込むことができます。これらの絞り込みにより、結果を整理、フィルタリング、または集約して、より充実した洞察を得ることができます。

例えば：

where句を使用して結果をフィルタリング

過去24時間における実行ファイル
| where binary.name == "dllhost.exe"

list句を使用して表示する特定のデータを選択

過去24時間における実行ファイル
| where binary.name == "dllhost.exe"
| 名前、バージョン、プラットフォーム、アーキテクチャ、サイズを一覧表示

結果をsort句を使用して順序付け降順desc句

過去24時間における実行ファイル
| where binary.name == "dllhost.exe"
| 名前、バージョン、プラットフォーム、アーキテクチャ、サイズを一覧表示
| サイズ降順に並べ替え

limit句を使用して結果の最大数を設定

過去24時間における実行ファイル
| where binary.name == "dllhost.exe"
| 名前、バージョン、プラットフォーム、アーキテクチャ、サイズを一覧表示
| サイズ降順に並べ替え
| 上限10件

特定の指示についての詳細は、NQLキーワードセクションを参照してください。

パターンマッチング

テキストフィルタで*や?といったワイルドカード文字を使用してください。

*は任意の数の文字を置き換えます

?は任意の単一の文字を置き換えます

例えば、名前がdllで始まり**.exe**で終わるすべてのバイナリを一覧表示するには、次のクエリになります：

binaries during past 24h
| where binary.name == "dll*.exe"
| list size,name,version 
| sort size desc 
| limit 100

コメントの追加

NQLクエリ内でコメントを使用して、実行中に無視される説明ノートを含めます。コメントはクエリの意図を明確にするため、読みやすく、管理しやすく、理解しやすくなります。

/* を使用してコメントを開始し、*/ で終了します。これらの記号の間のすべてのテキストは、実行中に無視されます。

過去7日間のデバイス 
/* このコメントは
複数行にわたり無視されます */
| list device.name, device.entity

コメント用キーボードショートカット

以下のキーボードショートカットを使用して、NQLクエリに素早くコメントを追加または削除します。

行ベースのコメント

現在の行または選択された複数の行のコメントを切り替えます。

以下のショートカットは、カーソルが置かれている行全体のコメントマーカー（/* ... */）を追加あるいは除去します。複数行が選択されている場合、コメントブロックで全行を囲みます。

Windows: Ctrl + / を押します
macOS: Cmd + / を押します

インラインまたはブロックコメント

選択したコードのコメントを切り替えます。

以下のショートカットは、選択されたコードの部分に対してコメントマーカーを追加または削除します（/* ... */）、選択の開始または終了が行中であっても。

Windows: Shift + Alt + A を押します
macOS: Shift + Option + A を押します

いずれかのショートカットを再度押すと、追加したコメントブロックが削除されます。

有効なコメントの配置

コメントは、NQLクエリの多くの部分に追加できます。ただし、コメントが許されない特定のケースがあります。

次の表は、無効なコメントの配置を示します。これらの場所にコメントが追加されると、NQLエディタはエラーを表示します。

無効なコメント配置の説明

無効なコメント配置の例

| とステートメントキーワードの間

devices | /* コメント */ where name == "test"

式の中

devices | where name /* コメント */ == "test"

演算子とオペランドの間

devices | compute x = count /* コメント */ ()

関数呼び出しの中

devices | summarize c = count() by /* コメント */ 1d, start_time

Last updated 7 days ago

Was this helpful?