活动
你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
AlertEvidence 表的查询
有关在 Azure 门户中使用这些查询的信息,请参阅 Log Analytics 教程。 有关 REST API,请参阅查询。
列出涉及特定用户的 100 个警报。
query
let userID = "<inert your AAD user ID>";
let userSid = "<inert your user SID>";
AlertEvidence
| where EntityType == "User" and (AccountObjectId == userID or AccountSid == userSid )
| join AlertInfo on AlertId
| project Timestamp, AlertId, Title, Category , Severity , ServiceSource , DetectionSource , AttackTechniques, AccountObjectId, AccountName, AccountDomain , AccountSid
| limit 100
其他资源
培训
文档
-
AlertInfo 的示例日志表查询 - Azure Monitor
AlertInfo 日志表的示例查询
-
Azure Monitor 日志参考 - AlertInfo - Azure Monitor
Azure Monitor 日志中 AlertInfo 表的参考。
-
Azure Monitor 日志参考 - AACAudit - Azure Monitor
Azure Monitor 日志中 AACAudit 表的参考。