KQL: o que é, como surgiu e por que ele é importante na análise de dados

Amanda Nascimento
há 2 dias
3 min de leitura

O KQL, sigla para Kusto Query Language, é uma linguagem de consulta criada pela Microsoft para explorar, filtrar, transformar e analisar grandes volumes de dados, principalmente dados de logs, eventos, telemetria, monitoramento e séries temporais.

Ele é muito usado em ferramentas como Azure Data Explorer, Azure Monitor, Microsoft Sentinel e também no Microsoft Fabric, especialmente em recursos de Real-Time Intelligence, como Eventhouse e KQL Database. Segundo a documentação da Microsoft, o KQL é usado para explorar dados, descobrir padrões, identificar anomalias, encontrar outliers e até apoiar análises estatísticas.

Como surgiu o KQL?

O KQL surgiu dentro da Microsoft, junto com o projeto chamado Kusto, que depois se tornou o serviço conhecido como Azure Data Explorer.

O nome Kusto era o codinome original do Azure Data Explorer. Ele faz referência a Jacques Cousteau, famoso explorador dos oceanos. A ideia do nome combina bem com a proposta da ferramenta: permitir que o usuário “explore” grandes volumes de dados, assim como um explorador investiga ambientes profundos e complexos.

Sobre quem inventou, o mais correto é dizer que o KQL foi criado por uma equipe da Microsoft, e não por uma única pessoa pública. A própria Microsoft descreve o KQL como uma linguagem inicialmente inventada pela equipe responsável pelo Azure Data Explorer.

Por que o KQL foi criado?

O KQL foi criado para resolver um problema muito comum em ambientes modernos de tecnologia: consultar grandes volumes de dados rapidamente.

Em sistemas corporativos, aplicações, servidores, dispositivos e plataformas em nuvem geram milhares ou milhões de eventos o tempo todo. Esses dados podem responder perguntas como:

quantos erros aconteceram nas últimas 24 horas;
qual aplicação está mais instável;
qual usuário acessou determinado recurso;
qual horário teve maior volume de eventos;
quais padrões indicam comportamento suspeito;
se houve aumento de falhas depois de uma atualização.

Embora o SQL seja excelente para dados relacionais, o KQL foi pensado para cenários de logs, eventos, telemetria e análise temporal, onde é comum investigar dados por intervalo de tempo, origem, severidade, tipo de evento e comportamento.

KQL é parecido com SQL?

Sim, mas a lógica de escrita é diferente.

No SQL, a consulta costuma começar com SELECT.

No KQL, normalmente começamos pela tabela e depois aplicamos etapas usando o operador de pipeline |.

Exemplo:

Chamados| where DataAbertura >= ago(30d)| summarize Total = count() by Status| order by Total desc

A leitura é bem natural:

pegue a tabela Chamados;
filtre os últimos 30 dias;
conte os chamados por status;
ordene do maior para o menor.

Essa estrutura em etapas deixa o KQL muito prático para investigação, principalmente quando você está explorando dados e refinando a análise aos poucos.

Onde o KQL é usado?

Hoje o KQL aparece em vários produtos Microsoft, como:

Azure Data Explorer;
Azure Monitor;
Log Analytics;
Microsoft Sentinel;
Application Insights;
Microsoft Fabric, especialmente em Real-Time Intelligence.

No Fabric, o KQL é importante quando trabalhamos com dados em tempo real, eventos, logs, telemetria e análise operacional.

O que é análise temporal no KQL?

Análise temporal é quando analisamos os dados considerando o tempo.

Em vez de olhar apenas o total geral, analisamos como os dados se comportam por minuto, hora, dia, semana ou mês.

Exemplos:

quantidade de chamados abertos por dia;
volume de erros por hora;
eventos de segurança nos últimos 7 dias;
aumento de falhas após uma implantação;
comportamento de acessos ao longo do tempo;
tendência de crescimento ou queda de incidentes.

No KQL, isso é muito comum com funções como ago() e bin().