Запросы для таблицы ConfigurationChange

Сведения об использовании этих запросов в портал Azure см. в руководстве по Log Analytics. Сведения о REST API см. в разделе "Запрос".

Остановленные службы Windows

Найдите все службы Windows, остановившиеся за последние 30 минут.

// To create an alert for this query, click '+ New alert rule'
ConfigurationChange  // (relies on the Change Tracking solution): 
| where ConfigChangeType == "WindowsServices" and SvcChangeType == "State"
| where SvcPreviousState == "Running" and SvcState == "Stopped"
| where SvcStartupType == "Auto" and TimeGenerated > ago(30m)

изменения программного обеспечения;

Выводит список изменений программного обеспечения, отсортированных по времени (в первую очередь).

ConfigurationChange
| where ConfigChangeType == "Software"
| sort by TimeGenerated desc

Изменения службы

Выводит список изменений службы, отсортированных по времени (в первую очередь).

ConfigurationChange
| where ConfigChangeType == "Services"
| sort by TimeGenerated desc

Тип изменения программного обеспечения на компьютер

Подсчет изменений программного обеспечения по компьютеру.

ConfigurationChange 
| where ConfigChangeType == "Software"
| summarize AggregatedValue = count() by Computer

Остановленные службы

Список остановленных изменений службы, отсортированных по времени.

ConfigurationChange 
| where ConfigChangeType == "WindowsServices" and SvcState == "Stopped" 
| sort by TimeGenerated desc

Количество изменений программного обеспечения на категорию

Подсчет изменений программного обеспечения по категории изменений.

ConfigurationChange
| where ConfigChangeType == "Software"
| summarize AggregatedValue = count() by ChangeCategory

Удалены изменения программного обеспечения

Показывает записи об изменениях для удаленного программного обеспечения.

ConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Removed"
| order by TimeGenerated desc