مستندات مهم است. این به همکاران شما کمک می کند تا درک کنند که چرا کاری انجام داده اید. بعداً به شما کمک می کند تا به یاد داشته باشید که چرا کاری انجام داده اید.
مستندسازی نمایش داده های Kusto Query (KQL) فقط مهم است.
در این وبلاگ ، ما بررسی خواهیم کرد که چرا مستند سازی موارد داده های شما ، نحوه نوشتن نظرات مؤثر در KQL و نکات عملی برای حفظ وضوح و ساختار.
چرا مستند سازی پرس و جو
برای مستند سازی سؤالات شما مزایای مختلفی وجود دارد.
- هنگامی که چیزی شکسته می شود ، نظرات روشن و مستندات سریعتر عیب یابی را سریعتر می کند.
- اعضای تیم می توانند به سرعت منطق پرس و جو شما را درک کنند ، حتی اگر آنها آن را ننوشتند.
- مستندات منحنی یادگیری را برای اعضای تیم جدید کاهش می دهد.
- یادداشت های روشن به شما (یا شخص دیگری) به شما کمک می کند تا ماه ها یا سالها بعد هدف پرس و جو را درک کنید.
تصور کنید که ماهها پس از نوشتن آن با این پرس و جو روبرو می شوید:
SecurityEvent
| where EventID == 4625
| summarize count() by AccountName
بدون اظهار نظر ، ممکن است هدف پرس و جو را به خاطر بسپارید. مستندات مناسب این مشکل را حل می کند.
نحوه اضافه کردن نظرات در KQL
در KQL می توانید با استفاده از دو برش رو به جلو ، نظر خود را بیان کنید: //
می توانید از این یا در یک خط واحد یا چندین خط استفاده کنید.
یک نمونه پرس و جو مثال:
// Filter for failed login attempts
SecurityEvent
| where EventID == 4625
از طرف دیگر ، می توانید توضیحات عمیق تری را در پرس و جو خود مانند این بنویسید: // Microsoft Defender را برای قیمت گذاری ابر در هر اشتراک نشان دهید
// Returns Microsoft Defender plans’ pricing per subscription.
//
// The query uses 'project' to show the listed properties in the results. You can add or remove properties.
//
securityresources
| where type == 'microsoft.security/pricings'
| project Subscription= subscriptionId, Azure_Defender_plan= name, Status= properties.pricingTier
هر خطی که می خواهید در مورد آن نظر بنویسید ، یا اگر خطوط خالی را ترک می کنید ، باید با دو برش رو به جلو شروع کنید. اگر نه ممکن است آنها به عنوان بخشی از پرس و جو اشتباه بگیرند ، که می تواند هنگام اجرای پرس و جو باعث ایجاد مشکلاتی شود.
همچنین می توانید نظرات در هر خط مانند این را اضافه کنید:
SecurityEvent // The dataset
| where TimeGenerated > ago(1h) // Activity in the last hour
| where EventID == 4624 // Successful logon
| where AccountType =~ "user" // case insensitive
با گذشت سالها ، من آموخته ام که مستندات مناسب یا نظرات در نمایش داده ها می توانند واقعاً مفید باشند. برخی از مواردی که من در نظرات در مورد سؤالاتم درج می کنم:
- هدف از پرس و جو و آنچه در تلاش برای دستیابی به آن است.
- توضیح مراحل کلیدی ، به ویژه در نمایش داده های چند مرحله ای یا پیچیده.
- فرضیات یا محدودیت ها. به عنوان مثال اگر زمان یا تاریخ بخشی از پرس و جو است ، من توضیح می دهم که آیا از قالب تاریخ آمریکایی (MM/DD/YYYY) استفاده می کند یا اینکه از قالب تاریخ اروپایی/بین المللی (DD/MM/YYYY) استفاده می کند.
- چه کسی پرس و جو را ایجاد کرد و چه موقع.
پایان
مستند سازی نمایش داده های KQL شما فقط بهترین روش نیست – لازم است در همکاری ، اشکال زدایی و ضد آینده کمک کنید.
نظرات هدفمند را به سؤالات خود اضافه کنید و آنها با گذشت زمان به یک کتابخانه ارزشمند تبدیل می شوند.
امروز شروع به مستند سازی نمایش داده های خود کنید و نکات مورد علاقه خود را در نظرات به اشتراک بگذارید!
