你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
az sentinel incident
注意
此参考是 Azure CLI(版本 2.37.0 或更高版本)的 sentinel 扩展的一部分。 该扩展将在首次运行 az sentinel incident 命令时自动安装。 详细了解扩展。
使用 sentinel 管理事件。
命令
az sentinel incident create
此命令是实验性的,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus
创建事件。
az sentinel incident create --incident-id
--resource-group
--workspace-name
[--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
[--classification-comment]
[--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
[--description]
[--etag]
[--first-activity-time-utc]
[--labels]
[--last-activity-time-utc]
[--owner]
[--provider-incident-id]
[--provider-name]
[--severity {High, Informational, Low, Medium}]
[--status {Active, Closed, New}]
[--title]
必需参数
事件 ID。
资源组的名称。 可以使用 az configure --defaults group=<name>
配置默认组。
工作区的名称。
可选参数
事件被关闭的原因。
描述事件关闭的原因。
事件被关闭的分类原因。
事件的说明。
Azure 资源的 Etag。
事件中第一个活动的时间。
与此事件相关的标签列表支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
事件中最后一个活动的时间。
描述事件分配给支持速记语法、json-file 和 yaml-file 的用户。 请尝试“??” 以显示更多内容。
事件提供程序分配的事件 ID。
生成事件的源提供程序的名称。
事件的严重性。
事件的状态。
事件的标题。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az sentinel incident create-team
此命令是实验性的,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus
创建一个 Microsoft 团队,通过共享参与者之间的信息和见解来调查事件。
az sentinel incident create-team --incident-id
--resource-group
--team-name
--workspace-name
[--group-ids]
[--member-ids]
[--team-description]
必需参数
事件 ID。
资源组的名称。 可以使用 az configure --defaults group=<name>
配置默认组。
团队的名称。
工作区的名称。
可选参数
要将其成员添加到团队支持速记语法、json-file 和 yaml-file 的组 ID 列表。 请尝试“??” 以显示更多内容。
要添加到团队支持速记语法、json-file 和 yaml-file 的成员 ID 列表。 请尝试“??” 以显示更多内容。
团队的说明。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az sentinel incident delete
此命令是实验性的,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus
删除事件。
az sentinel incident delete [--ids]
[--incident-id]
[--resource-group]
[--subscription]
[--workspace-name]
[--yes]
可选参数
一个或多个资源 ID(空格分隔)。 它应该是包含“资源 ID”参数的所有信息的完整资源 ID。 应提供 --id 或其他“资源 ID”参数。
事件 ID。
资源组的名称。 可以使用 az configure --defaults group=<name>
配置默认组。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
工作区的名称。
不提示确认。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az sentinel incident list
此命令是实验性的,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus
获取所有事件。
az sentinel incident list --resource-group
--workspace-name
[--filter]
[--orderby]
[--skip-token]
[--top]
必需参数
资源组的名称。 可以使用 az configure --defaults group=<name>
配置默认组。
工作区的名称。
可选参数
根据布尔条件筛选结果。 可选。
对结果进行排序。 可选。
仅当以前的操作返回了部分结果时,才使用 Skiptoken。 如果以前的响应包含 nextLink 元素,则 nextLink 元素的值将包含一个 skiptoken 参数,该参数指定用于后续调用的起点。 可选。
仅返回前 n 个结果。 可选。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az sentinel incident list-alert
此命令是实验性的,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus
获取所有事件警报。
az sentinel incident list-alert --incident-id
--resource-group
--workspace-name
必需参数
事件 ID。
资源组的名称。 可以使用 az configure --defaults group=<name>
配置默认组。
工作区的名称。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az sentinel incident list-bookmark
此命令是实验性的,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus
获取所有事件书签。
az sentinel incident list-bookmark --incident-id
--resource-group
--workspace-name
必需参数
事件 ID。
资源组的名称。 可以使用 az configure --defaults group=<name>
配置默认组。
工作区的名称。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az sentinel incident list-entity
此命令是实验性的,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus
获取所有与事件相关的实体。
az sentinel incident list-entity --incident-id
--resource-group
--workspace-name
必需参数
事件 ID。
资源组的名称。 可以使用 az configure --defaults group=<name>
配置默认组。
工作区的名称。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az sentinel incident run-playbook
此命令是实验性的,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus
触发特定事件的 playbook。
az sentinel incident run-playbook --incident-identifier
--resource-group
--workspace-name
[--logic-apps-resource-id]
[--tenant-id]
必需参数
事件的标识符。
资源组的名称。 可以使用 az configure --defaults group=<name>
配置默认组。
工作区的名称。
可选参数
逻辑应用的资源 ID。
租户的 ID。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az sentinel incident show
此命令是实验性的,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus
获取事件。
az sentinel incident show [--ids]
[--incident-id]
[--resource-group]
[--subscription]
[--workspace-name]
可选参数
一个或多个资源 ID(空格分隔)。 它应该是包含“资源 ID”参数的所有信息的完整资源 ID。 应提供 --id 或其他“资源 ID”参数。
事件 ID。
资源组的名称。 可以使用 az configure --defaults group=<name>
配置默认组。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
工作区的名称。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az sentinel incident update
此命令是实验性的,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus
更新事件。
az sentinel incident update [--add]
[--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
[--classification-comment]
[--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
[--description]
[--etag]
[--first-activity-time-utc]
[--force-string {0, 1, f, false, n, no, t, true, y, yes}]
[--ids]
[--incident-id]
[--labels]
[--last-activity-time-utc]
[--owner]
[--provider-incident-id]
[--provider-name]
[--remove]
[--resource-group]
[--set]
[--severity {High, Informational, Low, Medium}]
[--status {Active, Closed, New}]
[--subscription]
[--title]
[--workspace-name]
可选参数
通过指定路径和键值对将对象添加到对象列表。 示例:--add property.listProperty <key=value、string 或 JSON 字符串>。
事件被关闭的原因。
描述事件关闭的原因。
事件被关闭的分类原因。
事件的说明。
Azure 资源的 Etag。
事件中第一个活动的时间。
使用“set”或“add”时,保留字符串文本,而不是尝试转换为 JSON。
一个或多个资源 ID(空格分隔)。 它应该是包含“资源 ID”参数的所有信息的完整资源 ID。 应提供 --id 或其他“资源 ID”参数。
事件 ID。
与此事件相关的标签列表支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
事件中最后一个活动的时间。
描述事件分配给支持速记语法、json-file 和 yaml-file 的用户。 请尝试“??” 以显示更多内容。
事件提供程序分配的事件 ID。
生成事件的源提供程序的名称。
从列表中删除属性或元素。 示例:--remove property.list OR --remove propertyToRemove。
资源组的名称。 可以使用 az configure --defaults group=<name>
配置默认组。
通过指定要设置的属性路径和值来更新对象。 示例:--set property1.property2=。
事件的严重性。
事件的状态。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
事件的标题。
工作区的名称。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈