Requêtes pour la table ConfigurationChange

Services Windows arrêtés

Recherchez tous les services Windows qui se sont arrêtés au cours des 30 dernières minutes.

// To create an alert for this query, click '+ New alert rule'
ConfigurationChange  // (relies on the Change Tracking solution): 
| where ConfigChangeType == "WindowsServices" and SvcChangeType == "State"
| where SvcPreviousState == "Running" and SvcState == "Stopped"
| where SvcStartupType == "Auto" and TimeGenerated > ago(30m)

Modifications de logiciel

Listes modifications logicielles triées par heure (les plus récentes en premier).

ConfigurationChange
| where ConfigChangeType == "Software"
| sort by TimeGenerated desc

Modifications de service

Listes des modifications de service triées par heure (les plus récentes en premier).

ConfigurationChange
| where ConfigChangeType == "Services"
| sort by TimeGenerated desc

Type de modification logicielle par ordinateur

Compter les modifications logicielles par ordinateur.

ConfigurationChange 
| where ConfigChangeType == "Software"
| summarize AggregatedValue = count() by Computer

Services arrêtés

Listes arrêté les modifications de service triées par heure.

ConfigurationChange 
| where ConfigChangeType == "WindowsServices" and SvcState == "Stopped" 
| sort by TimeGenerated desc

Nombre de modifications logicielles par catégorie

Compter les modifications logicielles par catégorie de modification.

ConfigurationChange
| where ConfigChangeType == "Software"
| summarize AggregatedValue = count() by ChangeCategory

Suppression des modifications logicielles

Affiche les enregistrements de modifications des logiciels supprimés.

ConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Removed"
| order by TimeGenerated desc