Requêtes pour la table Watchlist
Obtenir les alias watchlist
Obtient une liste distincte de tous les alias watchlist dans un espace de travail.
Watchlist
| where _DTItemType == "Watchlist"
| where _DTTimestamp > ago(5d)
| distinct WatchlistAlias
Événements de recherche à l’aide d’une watchlist
Les événements de recherche dans la table Pulsations par rapport aux données d’une Watchlist en la traitant comme une table pour les jointures et les recherches.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.ComputerIP == $right.SearchKey
| limit 100
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour