Запросы к таблице списка наблюдения

Сведения об использовании этих запросов в портал Azure см. в руководстве по Log Analytics. Сведения о REST API см. в разделе "Запрос".

Получение псевдонимов списка наблюдения

Возвращает отдельный список всех псевдонимов списка наблюдения в рабочей области.

Watchlist
| where _DTItemType == "Watchlist"
| where _DTTimestamp > ago(5d)
| distinct WatchlistAlias

События подстановки с помощью списка наблюдения

События подстановки в таблице Heartbeat для данных из списка наблюдения, рассматривая список наблюдения как таблицу для соединений и подстановок.

Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
 on $left.ComputerIP == $right.SearchKey
 | limit 100