az sentinel watchlist

Примечание.

Эта ссылка является частью расширения sentinel для Azure CLI (версия 2.37.0 или более поздней). Расширение будет автоматически устанавливаться при первом запуске команды az sentinel watchlist . Подробнее о расширениях.

Управление списком наблюдения с помощью sentinel.

Команды

Имя	Описание	Тип	Состояние
az sentinel watchlist create	Создайте список отслеживания и его элементы списка отслеживания (массовое создание, например с помощью типа содержимого text/csv). Чтобы создать список отслеживания и его элементы, необходимо вызвать эту конечную точку с помощью rawContent или допустимых свойств URI SAR и contentType. RawContent в основном используется для небольшого списка наблюдения (размер содержимого ниже 3,8 МБ). URI SAS позволяет создать большой список наблюдения, где размер содержимого может превышать 500 МБ. Состояние обработки такого большого файла можно пропросить по URL-адресу, возвращенном в заголовке Azure-AsyncOperation.	Расширение	Экспериментальный
az sentinel watchlist delete	Удаление списка наблюдения.	Расширение	Экспериментальный
az sentinel watchlist list	Получение всех списков наблюдения без элементов списка наблюдения.	Расширение	Экспериментальный
az sentinel watchlist show	Получите список наблюдения без элементов списка наблюдения.	Расширение	Экспериментальный
az sentinel watchlist update	Обновите список наблюдения и его элементы списка наблюдения (массовое создание, например с помощью типа содержимого text/csv). Чтобы создать список отслеживания и его элементы, необходимо вызвать эту конечную точку с помощью rawContent или допустимых свойств URI SAR и contentType. RawContent в основном используется для небольшого списка наблюдения (размер содержимого ниже 3,8 МБ). URI SAS позволяет создать большой список наблюдения, где размер содержимого может превышать 500 МБ. Состояние обработки такого большого файла можно пропросить по URL-адресу, возвращенном в заголовке Azure-AsyncOperation.	Расширение	Экспериментальный

az sentinel watchlist create

Экспериментальный

Эта команда является экспериментальной и в стадии разработки. Уровни ссылок и поддержки: https://aka.ms/CLI_refstatus

Создайте список отслеживания и его элементы списка отслеживания (массовое создание, например с помощью типа содержимого text/csv). Чтобы создать список отслеживания и его элементы, необходимо вызвать эту конечную точку с помощью rawContent или допустимых свойств URI SAR и contentType. RawContent в основном используется для небольшого списка наблюдения (размер содержимого ниже 3,8 МБ). URI SAS позволяет создать большой список наблюдения, где размер содержимого может превышать 500 МБ. Состояние обработки такого большого файла можно пропросить по URL-адресу, возвращенном в заголовке Azure-AsyncOperation.

az sentinel watchlist create --name
                             --resource-group
                             --workspace-name
                             [--content-type]
                             [--created]
                             [--created-by]
                             [--default-duration]
                             [--description]
                             [--display-name]
                             [--etag]
                             [--is-deleted {0, 1, f, false, n, no, t, true, y, yes}]
                             [--items-search-key]
                             [--labels]
                             [--provider]
                             [--raw-content]
                             [--skip-num]
                             [--source]
                             [--source-type {Local file, Remote storage}]
                             [--tenant-id]
                             [--updated]
                             [--updated-by]
                             [--upload-status]
                             [--watchlist-id]
                             [--watchlist-type]

Обязательные параметры

--name --watchlist-alias -n

Псевдоним списка наблюдения.

--resource-group -g

Имя группы ресурсов. Вы можете настроить расположение по умолчанию с помощью az configure --defaults group=<name>.

--workspace-name -w

Экспериментальный

имя рабочей области;

Необязательные параметры

--content-type

Тип контента необработанного содержимого. Пример: text/csv или text/tsv.

--created

Время создания списка наблюдения.

--created-by

Описывает пользователя, создавшего краткий синтаксис списка отслеживания, json-file и yaml-file. Попробуйте "??", чтобы показать больше.

--default-duration

Длительность списка наблюдения по умолчанию (в формате длительности ISO 8601).

--description

Описание списка наблюдения.

--display-name

Отображаемое имя списка наблюдения.

--etag

Etag ресурса Azure.

--is-deleted

Флаг, указывающий, удаляется ли список наблюдения.

допустимые значения: 0, 1, f, false, n, no, t, true, y, yes

--items-search-key

Ключ поиска используется для оптимизации производительности запросов при использовании списков наблюдения для соединений с другими данными. Например, включите столбец с IP-адресами в качестве указанного поля SearchKey, а затем используйте это поле в качестве ключевого поля при присоединении к другим данным события по IP-адресу.

--labels

Список меток, относящихся к этому списку отслеживания, поддержка сокращенного синтаксиса, json-file и yaml-file. Попробуйте "??", чтобы показать больше.

--provider

Поставщик списка наблюдения.

--raw-content

Необработанное содержимое, представляющее элементы списка для создания. В случае типа контента csv/tsv это содержимое файла, который будет анализироваться конечной точкой.

--skip-num

Количество строк в содержимом csv/tsv, пропускаемых перед заголовком.

--source

Имя файла списка наблюдения с именем source.

--source-type

SourceType списка отслеживания.

допустимые значения: Local file, Remote storage

--tenant-id

Идентификатор клиента, к которому принадлежит список наблюдения.

--updated

При последнем обновлении списка наблюдения.

--updated-by

Описывает пользователя, который обновил краткий синтаксис списка отслеживания, json-file и yaml-file. Попробуйте "??", чтобы показать больше.

--upload-status

Состояние отправки списка наблюдения: New, InProgress или Complete. Примечание pls. Если состояние отправки списка наблюдения равно InProgress, список наблюдения не может быть удален.

--watchlist-id

Идентификатор (guid) списка наблюдения.

--watchlist-type

Тип списка наблюдения.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az sentinel watchlist delete

Экспериментальный

Эта команда является экспериментальной и в стадии разработки. Уровни ссылок и поддержки: https://aka.ms/CLI_refstatus

Удаление списка наблюдения.

az sentinel watchlist delete [--ids]
                             [--name]
                             [--resource-group]
                             [--subscription]
                             [--workspace-name]
                             [--yes]

Необязательные параметры

--ids

Один или несколько идентификаторов ресурсов (через пробелы). Это должен быть полный идентификатор ресурса, содержащий все сведения о аргументах Resource Id. Необходимо указать аргументы --ids или другие аргументы Resource Id.

--name --watchlist-alias -n

Псевдоним списка наблюдения.

--resource-group -g

Имя группы ресурсов. Вы можете настроить расположение по умолчанию с помощью az configure --defaults group=<name>.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--workspace-name -w

Экспериментальный

имя рабочей области;

--yes -y

Не запрашивать подтверждение.

значение по умолчанию: False

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az sentinel watchlist list

Экспериментальный

Эта команда является экспериментальной и в стадии разработки. Уровни ссылок и поддержки: https://aka.ms/CLI_refstatus

Получение всех списков наблюдения без элементов списка наблюдения.

az sentinel watchlist list --resource-group
                           --workspace-name
                           [--skip-token]

Обязательные параметры

--resource-group -g

Имя группы ресурсов. Вы можете настроить расположение по умолчанию с помощью az configure --defaults group=<name>.

--workspace-name -w

Экспериментальный

имя рабочей области;

Необязательные параметры

--skip-token

Skiptoken используется только в том случае, если предыдущая операция вернула частичный результат. Если предыдущий ответ содержит элемент nextLink, значение элемента nextLink будет включать параметр skiptoken, указывающий начальную точку для последующих вызовов. Необязательно.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az sentinel watchlist show

Экспериментальный

Эта команда является экспериментальной и в стадии разработки. Уровни ссылок и поддержки: https://aka.ms/CLI_refstatus

Получите список наблюдения без элементов списка наблюдения.

az sentinel watchlist show [--ids]
                           [--name]
                           [--resource-group]
                           [--subscription]
                           [--workspace-name]

Необязательные параметры

--ids

Один или несколько идентификаторов ресурсов (через пробелы). Это должен быть полный идентификатор ресурса, содержащий все сведения о аргументах Resource Id. Необходимо указать аргументы --ids или другие аргументы Resource Id.

--name --watchlist-alias -n

Псевдоним списка наблюдения.

--resource-group -g

Имя группы ресурсов. Вы можете настроить расположение по умолчанию с помощью az configure --defaults group=<name>.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--workspace-name -w

Экспериментальный

имя рабочей области;

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az sentinel watchlist update

Экспериментальный

Эта команда является экспериментальной и в стадии разработки. Уровни ссылок и поддержки: https://aka.ms/CLI_refstatus

Обновите список наблюдения и его элементы списка наблюдения (массовое создание, например с помощью типа содержимого text/csv). Чтобы создать список отслеживания и его элементы, необходимо вызвать эту конечную точку с помощью rawContent или допустимых свойств URI SAR и contentType. RawContent в основном используется для небольшого списка наблюдения (размер содержимого ниже 3,8 МБ). URI SAS позволяет создать большой список наблюдения, где размер содержимого может превышать 500 МБ. Состояние обработки такого большого файла можно пропросить по URL-адресу, возвращенном в заголовке Azure-AsyncOperation.

az sentinel watchlist update [--add]
                             [--content-type]
                             [--created]
                             [--created-by]
                             [--default-duration]
                             [--description]
                             [--display-name]
                             [--etag]
                             [--force-string {0, 1, f, false, n, no, t, true, y, yes}]
                             [--ids]
                             [--is-deleted {0, 1, f, false, n, no, t, true, y, yes}]
                             [--items-search-key]
                             [--labels]
                             [--name]
                             [--provider]
                             [--raw-content]
                             [--remove]
                             [--resource-group]
                             [--set]
                             [--skip-num]
                             [--source]
                             [--source-type {Local file, Remote storage}]
                             [--subscription]
                             [--tenant-id]
                             [--updated]
                             [--updated-by]
                             [--upload-status]
                             [--watchlist-id]
                             [--watchlist-type]
                             [--workspace-name]

Необязательные параметры

--add

Добавьте объект в список объектов, указав пары пути и значения ключа. Пример: --add property.listProperty <key=value, string или JSON string>.

--content-type

Тип контента необработанного содержимого. Пример: text/csv или text/tsv.

--created

Время создания списка наблюдения.

--created-by

Описывает пользователя, создавшего краткий синтаксис списка отслеживания, json-file и yaml-file. Попробуйте "??", чтобы показать больше.

--default-duration

Длительность списка наблюдения по умолчанию (в формате длительности ISO 8601).

--description

Описание списка наблюдения.

--display-name

Отображаемое имя списка наблюдения.

--etag

Etag ресурса Azure.

--force-string

При использовании "set" или "add" сохраняйте строковые литералы вместо попытки преобразовать в JSON.

допустимые значения: 0, 1, f, false, n, no, t, true, y, yes

--ids

Один или несколько идентификаторов ресурсов (через пробелы). Это должен быть полный идентификатор ресурса, содержащий все сведения о аргументах Resource Id. Необходимо указать аргументы --ids или другие аргументы Resource Id.

--is-deleted

Флаг, указывающий, удаляется ли список наблюдения.

допустимые значения: 0, 1, f, false, n, no, t, true, y, yes

--items-search-key

Ключ поиска используется для оптимизации производительности запросов при использовании списков наблюдения для соединений с другими данными. Например, включите столбец с IP-адресами в качестве указанного поля SearchKey, а затем используйте это поле в качестве ключевого поля при присоединении к другим данным события по IP-адресу.

--labels

Список меток, относящихся к этому списку отслеживания, поддержка сокращенного синтаксиса, json-file и yaml-file. Попробуйте "??", чтобы показать больше.

--name --watchlist-alias -n

Псевдоним списка наблюдения.

--provider

Поставщик списка наблюдения.

--raw-content

Необработанное содержимое, представляющее элементы списка для создания. В случае типа контента csv/tsv это содержимое файла, который будет анализироваться конечной точкой.

--remove

Удалите свойство или элемент из списка. Пример: --remove property.list OR --remove propertyToRemove.

--resource-group -g

Имя группы ресурсов. Вы можете настроить расположение по умолчанию с помощью az configure --defaults group=<name>.

--set

Обновите объект, указав путь к свойству и значение для задания. Пример: --set property1.property2=.

--skip-num

Количество строк в содержимом csv/tsv, пропускаемых перед заголовком.

--source

Имя файла списка наблюдения с именем source.

--source-type

SourceType списка отслеживания.

допустимые значения: Local file, Remote storage

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--tenant-id

Идентификатор клиента, к которому принадлежит список наблюдения.

--updated

При последнем обновлении списка наблюдения.

--updated-by

Описывает пользователя, который обновил краткий синтаксис списка отслеживания, json-file и yaml-file. Попробуйте "??", чтобы показать больше.

--upload-status

Состояние отправки списка наблюдения: New, InProgress или Complete. Примечание pls. Если состояние отправки списка наблюдения равно InProgress, список наблюдения не может быть удален.

--watchlist-id

Идентификатор (guid) списка наблюдения.

--watchlist-type

Тип списка наблюдения.

--workspace-name -w

Экспериментальный

имя рабочей области;

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.