Query per la tabella Watchlist
Ottenere gli alias watchlist
Ottiene un elenco distinto di tutti gli alias Watchlist in un'area di lavoro.
Watchlist
| where _DTItemType == "Watchlist"
| where _DTTimestamp > ago(5d)
| distinct WatchlistAlias
Eventi di ricerca tramite un elenco di controllo
Ricerca di eventi nella tabella Heartbeat rispetto ai dati di un watchlist trattando l'elenco di controllo come tabella per i join e le ricerche.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.ComputerIP == $right.SearchKey
| limit 100
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per