皆さんこんにちは。国井です。
前回紹介したKQLクエリの書き方シリーズの第7弾として
今日は render 演算子を利用してクエリの結果を視覚化したいと思います。
棒グラフで出力
以前にsummarize演算子を使ってログの数を数えるという方法を紹介しましたが、その結果を数字ではなくグラフで出力したければrender演算子を使います。
棒グラフで表示する場合なら render barchart と書いてあげます。
SecurityEvent | summarize count() by Account | render barchart
出力結果はこんな感じ。
結果がバラバラに表示されるのはあまり美しくないので、並べ替えをしてから棒グラフにしたいですよね。
SecurityEvent | summarize count() by Account | order by count_ | render barchart
そうすれば結果はこんな感じに変わります。
折れ線グラフで出力
今度は折れ線グラフのケースについて。
折れ線グラフは render timechart と書いてあげます。
下のクエリではSecurityEventログが出力された数を時間単位で折れ線グラフにしています。
SecurityEvent | summarize count() by bin(TimeGenerated, 1h) | render timechart
ここでbinというのが登場しました。
bin(A, B)とはAの値をBの単位にして単位以下の値を切り捨てるものです。
bin(TimeGenerated, 1h) であればTimeGeneratedの値から1時間未満の部分 (つまり分秒の部分) を削除します。
そうすれば、14:00は●●件、15:00は●●件、って感じで並べられますよね。
ここではrender演算子のうち、barchartとtimechartだけを扱いましたが、そのほかにもいろいろありますので色々試してみてください。
