Microsoft Azure – 使用 KQL 生成 TimeGenerated 的防火墙网络流日志

Microsoft Azure是一个广泛使用的云计算平台，其中包含了许多强大的工具和技术。在本文中，我们将介绍如何使用Azure中的Kusto Query语言（KQL）来生成防火墙网络流日志中的TimeGenerated字段。

什么是Kusto Query语言（KQL）？

Kusto Query语言（KQL）是一种专门为Azure Data Explorer设计的查询语言。它允许用户轻松地从多种数据源中查询和分析数据。KQL具有与SQL类似的语法，使得许多SQL开发人员可以轻松地开始使用它。

下面是一个使用KQL查询Azure网络安全组日志的基本示例：

SecurityEvent
| where TimeGenerated >= datetime(2021-01-01) and TimeGenerated <= datetime(2021-01-08)
| where SecurityRule =~ "AllowHttpTraffic"
| project TimeGenerated, SourceIP, DestinationIP, SecurityRule

在这个例子中，我们将从SecurityEvent表中选择了一些字段，然后使用where子句来筛选出某个时间范围内所有的安全组日志，并过滤了SecurityRule是“ AllowHttpTraffic”的记录。

如何在防火墙网络流日志中生成TimeGenerated字段？

要生成防火墙网络流日志中的TimeGenerated字段，您需要使用以下代码：

AzureDiagnostics
| where Category == "AzureFirewallNetworkRule"
| project Timestamp=tostring(timeGenerated), Action, RuleName, SourceAddress, DestinationAddress, DestinationPort

这段代码使用AzureDiagnostics表来选择防火墙网络规则，并使用project子句来选择您想要的字段。该代码使用了tostring和timeGenerated函数来生成Timestamp字段，该字段包含TimeGenerated的值。

在此基础上，您可以使用KQL中支持的其他函数和操作符来进一步筛选和分析数据。

总结

在本文中，我们介绍了如何使用KQL来生成防火墙网络流日志中的TimeGenerated字段。KQL是Azure中强大的工具之一，可以让您轻松地从多种数据源中查询和分析数据。我们希望这篇文章可以帮助您更好地理解如何在Azure中使用KQL。