Как начать работать с расследованиями
Статья создана
Обновлена 24 марта 2026 г.
Примечание
Функциональность находится на стадии Preview. Чтобы получить доступ, обратитесь в техническую поддержку или к вашему аккаунт-менеджеру.
В этом руководстве вы создадите расследование и выполните первый запрос на языке KQL (Kusto Query Language).
Перед началом работы
Раздел YCDR появится в интерфейсе Security Deck после одобрения заявки на доступ.
Для работы с расследованиями вам потребуется роль ycdr.admin.
Создайте расследование
- Перейдите в сервис Security Deck.
- На панели слева выберите YCDR.
- Перейдите на вкладку Расследования.
- Нажмите Новое расследование.
- Введите название расследования, например:
Анализ неудачных входов. - В поле Описание добавьте описание:
Поиск неудачных попыток входа в консоль за последние 30 минут.
Создайте запрос
-
В редакторе запросов введите следующий KQL-запрос:
Events | project event_class, ['time'] | limit 1Этот запрос:
- выбирает события из таблицы
Events; - отображает поля
event_classиtime; - ограничивает результат одной записью.
- выбирает события из таблицы
-
Выберите временной период Последние 30 минут.
-
Нажмите кнопку запуска запроса.
Проанализируйте результаты
После выполнения запроса результаты отображаются в таблице с полями:
event_class— класс события;time— время события.
Это простой пример запроса для проверки работоспособности сервиса. Для более сложного анализа используйте другие запросы и фильтры.
Что дальше
- Узнайте больше о расследованиях и запросах.
- Научитесь управлять расследованиями.
- Изучите работу с запросами.
- Изучите справочник KQL.