Справочник KQL

Статья создана

Обновлена 16 марта 2026 г.

Системные таблицы
Операторы выражений в запросе
- Set
- Let
Табличные операторы
Условия оператора where
Функции
Агрегатные функции для summarize

Примечание

Функциональность находится на стадии Preview. Чтобы получить доступ, обратитесь в техническую поддержку или к вашему аккаунт-менеджеру.

В этом разделе представлен справочник по подмножеству KQL (Kusto Query Language), используемому в Yandex Cloud Detection and Response.

Системные таблицы

В YCDR доступны следующие системные таблицы:

Events — нормализованные события в базе или потоке.
EVENT_CLASS — названия классов событий, указанные в классификаторе, с соответствующей фильтрацией полей.

Операторы выражений в запросе

Set

Оператор set позволяет задать параметры запроса.

set rule_name = "SomeRuleName";
set window_step = 35m;
set runtime = "database";

Поддерживаемые параметры:

Параметр	Тип	Описание
`rule_name`	строка	Название правила, используется при запуске через расследование
`window_step`	интервал	Временной сдвиг для периодических запусков через расследование
`runtime`	строка	Тип запуска по базе: `database`

Let

Оператор let позволяет создавать табличные переменные.

let someTable = ATiamDetectLeakedCredential | limit 10;

Табличные операторы

Where

Оператор where фильтрует данные по условию.

where at_iam_subject_name !contains "test"
where region != "" and 1 != 4 + 2 or x == y

Lookup

Оператор lookup выполняет объединение таблиц. Поддерживается только left outer join.

lookup (
    abc.quotas | project lookup_c_group, lookup_srv, limits_list
) on $left.service.service_id == $right.lookup_srv,
   $left.c_group == $right.lookup_c_group

Ограничение: при обогащении необходимо указывать нужные поля внешней таблицы через project.

Summarize

Оператор summarize выполняет агрегацию данных.

summarize cnt = count(),
            uniq_subjects = dcount(at_iam_subject_id),
            last_event = max(time),
            first_event = min(time),
            sum_logon_type = sum(user_logon_type),
            avg_logon_type = avg(user_logon_type),
            p95_logon_type = percentile(user_logon_type, 95)
by region, bin(time, 1d)

Ограничения:

Не поддерживаются названия полей по умолчанию (count_ и т.д.) — их нужно указывать явно.
Ограничен список агрегирующих функций.

Extend

Оператор extend добавляет вычисляемые столбцы.

extend use = extract("user=(^ ]+)\s+ip=(?<ip>[0-9.]+)", 1, Message),
          a = 5, b = c

Mv-expand

Оператор mv-expand раскрывает массивы в отдельные строки.

mv-expand grant = grants

Ограничение: поддерживается только kind = bag и раскрытие только одной колонки.

Project

Оператор project выбирает и переименовывает столбцы.

| project event_class = "Alert", time, foundHostid = hostid

Top и Sort

Операторы top и sort сортируют и ограничивают результат.

sort by field desc
top 5 by anotherField

Limit

Оператор limit ограничивает количество строк.

limit 10000

Условия оператора where

Логические операторы

Оператор	Описание
`and`	Логическое И
`or`	Логическое ИЛИ
`not`	Логическое НЕ
`()`	Группировка условий

not (ivan >= 1337 or lesha <= 1337)

Операторы сравнения

Оператор	Описание
`==`	Равенство
`!=`	Неравенство
`>`, `<`	Сравнение чисел и временных значений
`>=`, `<=`	Сравнение с включением границ

Операторы вхождения

Оператор	Описание
`between` / `!between`	Проверка вхождения в интервал
`in` / `!in`	Проверка вхождения в список
`has_any` / `!has`	Проверка наличия любого из слов
`contains` / `!contains`	Проверка наличия подстроки (регистронезависимо)
`matches regex`	Проверка соответствия регулярному выражению

time between (ago(60m) .. now())
age in (18, 19, 20)
array.obj has_any ('tesla', 'bmw')
field contains "substring"
file_category@object matches regex "app\.compute\..*"

Функции

Функции преобразования типов

Функция	Описание
`tostring()`	Конвертирует в строку
`toint()`	Конвертирует в целочисленное значение
`todouble()` / `toreal()`	Конвертирует в нецелочисленное значение
`todatetime()`	Конвертирует строку в дату и время
`parse_json()`	Парсит строку в JSON

Функции извлечения

Функция	Описание
`extract()`	Извлекает группу регулярного выражения из строки
`external_table()`	Позволяет обращаться к внешней таблице

Функции времени

Функция	Описание
`now()`	Возвращает текущее время
`ago(1h)`	Возвращает время в прошлом

Прочие функции

Функция	Описание
`isnull()` / `isnotnull()`	Проверка на null
`bag_pack_columns()`	Создает dynamic (JSON) с полями из указанных колонок
`case()`	Выбор значения в зависимости от условия

case([predicate, valueIfTrue]+, defaultValue)

Агрегатные функции для summarize

Функция	Описание
`count()`	Подсчитывает общее количество строк
`count_distinct()`	Подсчитывает количество уникальных значений
`avg()`	Вычисляет среднее значение
`max()`	Возвращает максимальное значение
`min()`	Возвращает минимальное значение
`percentile()`	Возвращает значение на заданном процентиле
`sum()`	Суммирует значения
`dcount()`	Подсчитывает количество уникальных значений
`bin()`	Группирует по временным окнам

Справочник KQL

Системные таблицыСистемные таблицы

Операторы выражений в запросеОператоры выражений в запросе

SetSet

LetLet

Табличные операторыТабличные операторы

WhereWhere

LookupLookup

SummarizeSummarize

ExtendExtend

Mv-expandMv-expand

ProjectProject

Top и SortTop и Sort

LimitLimit

Условия оператора whereУсловия оператора where

Логические операторыЛогические операторы

Операторы сравненияОператоры сравнения

Операторы вхожденияОператоры вхождения

ФункцииФункции

Функции преобразования типовФункции преобразования типов

Функции извлеченияФункции извлечения

Функции времениФункции времени

Прочие функцииПрочие функции

Агрегатные функции для summarizeАгрегатные функции для summarize

Была ли статья полезна?