Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Pour plus d’informations sur l’utilisation de ces requêtes dans le Portail Azure, consultez le didacticiel Log Analytics. Pour l’API REST, consultez Requête.
Obtenez les alias de la liste de surveillance
Obtient une liste distincte de tous les alias Watchlist dans un espace de travail.
Watchlist
| where _DTItemType == "Watchlist"
| where _DTTimestamp > ago(5d)
| distinct WatchlistAlias
Recherchez des événements à l’aide d’une Watchlist
Vous pouvez rechercher des événements dans une table Pulsation pour les comparer aux données d’une Liste de suivi en traitant la Liste de suivi comme une table pour les jointures et les recherches.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.ComputerIP == $right.SearchKey
| limit 100