Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein KQL-Auftrag ist ein einmaliger oder geplanter Vorgang, der eine KQL-Abfrage (Kusto Query Language) für die Daten auf der Daten lake-Ebene ausführt, um die Ergebnisse auf die Analyseebene hochzustufen. Aufträge können im KQL-Abfrage-Editor oder auf der Seite Aufträge unter Microsoft Sentinel>Data Lake-Erkundung im Microsoft Defender-Portal erstellt werden. Weitere Informationen finden Sie unter KQL-Aufträge.
Die Seite "Auftragsverwaltung" bietet die folgenden Funktionen:
- Zeigen Sie alle Aufträge im Microsoft Sentinel-Datensee an. Sie können Aufträge anzeigen, die im KQL-Abfrage-Editor oder in Notizbüchern erstellt wurden.
- Sehen Sie eine Zusammenfassung der KQL- und Notebook-Jobs an.
- Zeigen Sie Details aller Aufträge an, und wenden Sie filter an, um die Liste einzugrenzen.
- Aktuelle Auftrags-Integritätsprobleme anzeigen.
- Erstellen Sie einen neuen Auftrag zum Ausführen einer KQL-Abfrage. Weitere Informationen zum Erstellen von Aufträgen finden Sie unter Erstellen von Aufträgen im Microsoft Sentinel-Datensee mithilfe von KQL.
- Auftragsdetails bearbeiten. Sie können einen Notizbuchauftrag auf der Seite "Aufträge" anzeigen, aber nicht bearbeiten. Weitere Informationen zum Bearbeiten von Notebook-Aufträgen finden Sie unter Notebook-Dokumentation.
- Deaktivieren Sie einen Auftrag, sodass er nicht ausgeführt wird, bis Sie ihn erneut aktivieren.
- Aktivieren Sie einen Auftrag, sodass er nach dem Deaktivieren erneut ausgeführt werden kann.
- Anzeigen des Auftragsverlaufs, einschließlich der Laufzeiten und Status des Auftrags.
- Löschen Sie einen Auftrag, und entfernen Sie ihn aus der Liste der Aufträge. Diese Aktion ist dauerhaft und kann nicht rückgängig gemacht werden.
Erlaubnisse
Microsoft Entra ID-Rollen bieten umfassenden Zugriff auf alle Arbeitsbereiche im Data Lake. Um Tabellen in allen Arbeitsbereichen zu lesen, in die Analyseebene zu schreiben und Aufträge mithilfe von KQL-Abfragen zu planen, müssen Sie über eine der unterstützten Microsoft Entra-ID-Rollen verfügen. Weitere Informationen zu Rollen und Berechtigungen finden Sie unter Microsoft Sentinel Data Lake-Rollen und -Berechtigungen.
Aufträge verwalten
Auf der Seite "Aufträge" wird eine Liste von Aufträgen angezeigt, einschließlich des Auftragsnamens, des Status, des Auftragstyps, des Datums der letzten und nächsten Ausführung sowie des aktuellen Auftragsstatus. Sie können die Aufträge nach Status, Datum der letzten Ausführung und Erstellungsdatum filtern. Spalte "Auftragsstatus" gibt an, ob der Auftrag aktiviert oder deaktiviert ist. Die Spalte " Auftragstyp " gibt an, ob es sich bei dem Auftrag um einen KQL-Abfrageauftrag oder einen Notizbuchauftrag handelt.
Die Spalte Aktuelle Integritätsprobleme zeigt an, ob bei den letzten Ausführungen des Auftrags Probleme aufgetreten sind, wie sie von den Filtern angegeben werden. Wählen Sie den Link aus, um die Integritätsdetails des Auftrags anzuzeigen.
Um einen Auftrag auf der Seite "Aufträge" zu erstellen, wählen Sie " Neuen KQL-Auftrag erstellen" aus. Weitere Informationen zum Erstellen von Aufträgen finden Sie unter Erstellen von Aufträgen im Microsoft Sentinel-Datensee mithilfe von KQL.
Auftragsdetails
Um die Details eines Auftrags anzuzeigen, wählen Sie den Auftrag aus der Tabelle aus.
Der Bereich "Auftragsdetails" wird geöffnet, in dem die Details des Auftrags angezeigt werden. Sie können einen Auftrag aktivieren und deaktivieren, dessen Verlauf anzeigen, bearbeiten oder löschen.
Wählen Sie den Link " Zieltabelle" aus, um die Tabelle im KQL-Abfrage-Editor in der erweiterten Suche zu öffnen.
Die Abfrage kann kopiert werden, indem Sie "Abfrage kopieren" auswählen.
Editieren eines Jobs
Um einen Auftrag zu bearbeiten, wählen Sie im Bereich "Auftragsdetails" die Option "Bearbeiten" aus. Der Bereich "Auftragsdetails" wird geöffnet, sodass Sie die folgenden Felder bearbeiten können:
- Stellenbeschreibung.
- KQL-Abfrage. Die Abfrage kann aktualisiert werden, muss jedoch das gleiche Ausgabeschema wie die ursprüngliche Abfrage zurückgeben. Sie können z. B. den Zeitraum in der Abfrage ändern, aber sie können die von der Abfrage zurückgegebenen Spalten nicht ändern.
- Auftragszeitplan. Sie können den Auftrag so ändern, dass er einmalig oder nach einem Zeitplan ausgeführt wird, oder den Ausführungszeitplan ändern.
Wählen Sie "Weiter" aus, um mit dem nächsten Bildschirm fortzufahren.
Nachdem Sie den Auftrag bearbeitet haben, wählen Sie "Absenden" aus, um die Änderungen zu speichern. Der Auftrag wird aktualisiert und wird gemäß dem neuen Zeitplan oder der neuen Abfrage ausgeführt.
Hinweis
Durch das Bearbeiten eines einmaligen Auftrags wird die Ausführung sofort ausgelöst.
Anzeigen des Ausführungsverlaufs eines Auftrags
Um den Verlauf eines Auftrags anzuzeigen, wählen Sie im Bereich "Auftragsdetails" die Option " Verlauf anzeigen " aus. Der Bereich "Auftragsverlauf" wird geöffnet, in dem eine Liste der Laufzeiten und Status des Auftrags angezeigt wird. Die Zeilenanzahl gibt die Anzahl der Zeilen an, die in der Analyseebene an die Zieltabelle gesendet wurden.
Einen Auftrag aktivieren oder deaktivieren
Um einen Auftrag zu aktivieren oder zu deaktivieren, wählen Sie im Bereich "Auftragsdetails" die Option "Aktivieren " oder "Deaktivieren" aus. Wenn ein Auftrag deaktiviert ist, wird er erst ausgeführt, wenn Sie ihn erneut aktivieren. Der Status des Auftrags ändert sich, um anzugeben, ob er aktiviert oder deaktiviert ist.
Löschen eines Auftrags
Um einen Auftrag zu löschen, wählen Sie im Bereich "Auftragsdetails" die Option "Löschen " aus. Es wird ein Bestätigungsdialogfeld angezeigt, in dem Sie aufgefordert werden, den Löschvorgang zu bestätigen. Wenn Sie bestätigen, wird der Auftrag endgültig gelöscht und kann nicht wiederhergestellt werden. Sie können einen ausgeführten Auftrag nicht löschen.
Überlegungen und Einschränkungen
Informationen zu Überlegungen und Einschränkungen beim Verwalten von KQL-Aufträgen im Microsoft Sentinel-Datensee finden Sie unter KQL-Aufträge.