你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

az sentinel incident

参考

注意

此参考是 Azure CLI（版本 2.37.0 或更高版本）的 sentinel 扩展的一部分。该扩展将在首次运行 az sentinel incident 命令时自动安装。详细了解扩展。

使用 sentinel 管理事件。

命令

名称	说明	类型	状态
az sentinel incident comment	使用 sentinel 管理事件注释。	分机	GA
az sentinel incident comment create	创建事件注释。	扩展	实验
az sentinel incident comment delete	删除事件注释。	扩展	实验
az sentinel incident comment list	获取所有事件注释。	分机	实验
az sentinel incident comment show	获取事件注释。	分机	实验
az sentinel incident comment update	更新事件注释。	扩展	实验
az sentinel incident create	创建事件。	分机	实验
az sentinel incident create-team	创建一个 Microsoft 团队，通过共享参与者之间的信息和见解来调查事件。	分机	实验
az sentinel incident delete	删除事件。	分机	实验
az sentinel incident list	获取所有事件。	分机	实验
az sentinel incident list-alert	获取所有事件警报。	扩展	实验
az sentinel incident list-bookmark	获取所有事件书签。	扩展	实验
az sentinel incident list-entity	获取所有与事件相关的实体。	分机	实验
az sentinel incident relation	使用 sentinel 管理事件关系。	分机	GA
az sentinel incident relation create	创建事件关系。	分机	实验
az sentinel incident relation delete	删除事件关系。	扩展	实验
az sentinel incident relation list	获取所有事件关系。	扩展	实验
az sentinel incident relation show	获取事件关系。	扩展	实验
az sentinel incident relation update	更新事件关系。	扩展	实验
az sentinel incident run-playbook	触发特定事件的 playbook。	分机	实验
az sentinel incident show	获取事件。	扩展	实验
az sentinel incident update	更新事件。	扩展	实验

az sentinel incident create

实验

此命令是实验性的，正在开发中。参考和支持级别： https://aka.ms/CLI_refstatus

创建事件。

az sentinel incident create --incident-id
                            --resource-group
                            --workspace-name
                            [--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
                            [--classification-comment]
                            [--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
                            [--description]
                            [--etag]
                            [--first-activity-time-utc]
                            [--labels]
                            [--last-activity-time-utc]
                            [--owner]
                            [--provider-incident-id]
                            [--provider-name]
                            [--severity {High, Informational, Low, Medium}]
                            [--status {Active, Closed, New}]
                            [--title]

必需参数

--incident-id --name -n

事件 ID。

--resource-group -g

资源组的名称。可以使用 az configure --defaults group=<name> 配置默认组。

--workspace-name -w

实验

工作区的名称。

可选参数

--classification

事件被关闭的原因。

接受的值: BenignPositive, FalsePositive, TruePositive, Undetermined

--classification-comment

描述事件关闭的原因。

--classification-reason

事件被关闭的分类原因。

接受的值: InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected

--description

事件的说明。

--etag

Azure 资源的 Etag。

--first-activity-time-utc

事件中第一个活动的时间。

--labels

与此事件相关的标签列表支持速记语法、json-file 和 yaml-file。请尝试“？？” 以显示更多内容。

--last-activity-time-utc

事件中最后一个活动的时间。

--owner

描述事件分配给支持速记语法、json-file 和 yaml-file 的用户。请尝试“？？” 以显示更多内容。

--provider-incident-id

事件提供程序分配的事件 ID。

--provider-name

生成事件的源提供程序的名称。

--severity

事件的严重性。

接受的值: High, Informational, Low, Medium

--status

事件的状态。

接受的值: Active, Closed, New

--title

事件的标题。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。使用 --debug 获取完整的调试日志。

az sentinel incident create-team

实验

此命令是实验性的，正在开发中。参考和支持级别： https://aka.ms/CLI_refstatus

创建一个 Microsoft 团队，通过共享参与者之间的信息和见解来调查事件。

az sentinel incident create-team --incident-id
                                 --resource-group
                                 --team-name
                                 --workspace-name
                                 [--group-ids]
                                 [--member-ids]
                                 [--team-description]

必需参数

--incident-id

事件 ID。

--resource-group -g

资源组的名称。可以使用 az configure --defaults group=<name> 配置默认组。

--team-name

团队的名称。

--workspace-name -w

实验

工作区的名称。

可选参数

--group-ids

要将其成员添加到团队支持速记语法、json-file 和 yaml-file 的组 ID 列表。请尝试“？？” 以显示更多内容。

--member-ids

要添加到团队支持速记语法、json-file 和 yaml-file 的成员 ID 列表。请尝试“？？” 以显示更多内容。

--team-description

团队的说明。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。使用 --debug 获取完整的调试日志。

az sentinel incident delete

实验

此命令是实验性的，正在开发中。参考和支持级别： https://aka.ms/CLI_refstatus

删除事件。

az sentinel incident delete [--ids]
                            [--incident-id]
                            [--resource-group]
                            [--subscription]
                            [--workspace-name]
                            [--yes]

可选参数

--ids

一个或多个资源 ID（空格分隔）。它应该是包含“资源 ID”参数的所有信息的完整资源 ID。应提供 --id 或其他“资源 ID”参数。

--incident-id --name -n

事件 ID。

--resource-group -g

资源组的名称。可以使用 az configure --defaults group=<name> 配置默认组。

--subscription

订阅的名称或 ID。可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--workspace-name -w

实验

工作区的名称。

--yes -y

不提示确认。

默认值: False

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。使用 --debug 获取完整的调试日志。

az sentinel incident list

实验

此命令是实验性的，正在开发中。参考和支持级别： https://aka.ms/CLI_refstatus

获取所有事件。

az sentinel incident list --resource-group
                          --workspace-name
                          [--filter]
                          [--orderby]
                          [--skip-token]
                          [--top]

必需参数

--resource-group -g

资源组的名称。可以使用 az configure --defaults group=<name> 配置默认组。

--workspace-name -w

实验

工作区的名称。

可选参数

--filter

根据布尔条件筛选结果。可选。

--orderby

对结果进行排序。可选。

--skip-token

仅当以前的操作返回了部分结果时，才使用 Skiptoken。如果以前的响应包含 nextLink 元素，则 nextLink 元素的值将包含一个 skiptoken 参数，该参数指定用于后续调用的起点。可选。

--top

仅返回前 n 个结果。可选。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。使用 --debug 获取完整的调试日志。

az sentinel incident list-alert

实验

此命令是实验性的，正在开发中。参考和支持级别： https://aka.ms/CLI_refstatus

获取所有事件警报。

az sentinel incident list-alert --incident-id
                                --resource-group
                                --workspace-name

必需参数

--incident-id

事件 ID。

--resource-group -g

资源组的名称。可以使用 az configure --defaults group=<name> 配置默认组。

--workspace-name -w

实验

工作区的名称。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。使用 --debug 获取完整的调试日志。

az sentinel incident list-bookmark

实验

此命令是实验性的，正在开发中。参考和支持级别： https://aka.ms/CLI_refstatus

获取所有事件书签。

az sentinel incident list-bookmark --incident-id
                                   --resource-group
                                   --workspace-name

必需参数

--incident-id

事件 ID。

--resource-group -g

资源组的名称。可以使用 az configure --defaults group=<name> 配置默认组。

--workspace-name -w

实验

工作区的名称。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。使用 --debug 获取完整的调试日志。

az sentinel incident list-entity

实验

此命令是实验性的，正在开发中。参考和支持级别： https://aka.ms/CLI_refstatus

获取所有与事件相关的实体。

az sentinel incident list-entity --incident-id
                                 --resource-group
                                 --workspace-name

必需参数

--incident-id

事件 ID。

--resource-group -g

资源组的名称。可以使用 az configure --defaults group=<name> 配置默认组。

--workspace-name -w

实验

工作区的名称。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。使用 --debug 获取完整的调试日志。

az sentinel incident run-playbook

实验

此命令是实验性的，正在开发中。参考和支持级别： https://aka.ms/CLI_refstatus

触发特定事件的 playbook。

az sentinel incident run-playbook --incident-identifier
                                  --resource-group
                                  --workspace-name
                                  [--logic-apps-resource-id]
                                  [--tenant-id]

必需参数

--incident-identifier

事件的标识符。

--resource-group -g

资源组的名称。可以使用 az configure --defaults group=<name> 配置默认组。

--workspace-name -w

实验

工作区的名称。

可选参数

--logic-apps-resource-id

逻辑应用的资源 ID。

--tenant-id

租户的 ID。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。使用 --debug 获取完整的调试日志。

az sentinel incident show

实验

此命令是实验性的，正在开发中。参考和支持级别： https://aka.ms/CLI_refstatus

获取事件。

az sentinel incident show [--ids]
                          [--incident-id]
                          [--resource-group]
                          [--subscription]
                          [--workspace-name]

可选参数

--ids

一个或多个资源 ID（空格分隔）。它应该是包含“资源 ID”参数的所有信息的完整资源 ID。应提供 --id 或其他“资源 ID”参数。

--incident-id --name -n

事件 ID。

--resource-group -g

资源组的名称。可以使用 az configure --defaults group=<name> 配置默认组。

--subscription

订阅的名称或 ID。可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--workspace-name -w

实验

工作区的名称。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。使用 --debug 获取完整的调试日志。

az sentinel incident update

实验

此命令是实验性的，正在开发中。参考和支持级别： https://aka.ms/CLI_refstatus

更新事件。

az sentinel incident update [--add]
                            [--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
                            [--classification-comment]
                            [--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
                            [--description]
                            [--etag]
                            [--first-activity-time-utc]
                            [--force-string {0, 1, f, false, n, no, t, true, y, yes}]
                            [--ids]
                            [--incident-id]
                            [--labels]
                            [--last-activity-time-utc]
                            [--owner]
                            [--provider-incident-id]
                            [--provider-name]
                            [--remove]
                            [--resource-group]
                            [--set]
                            [--severity {High, Informational, Low, Medium}]
                            [--status {Active, Closed, New}]
                            [--subscription]
                            [--title]
                            [--workspace-name]

可选参数

--add

通过指定路径和键值对将对象添加到对象列表。示例：--add property.listProperty <key=value、string 或 JSON 字符串>。

--classification

事件被关闭的原因。

接受的值: BenignPositive, FalsePositive, TruePositive, Undetermined

--classification-comment

描述事件关闭的原因。

--classification-reason

事件被关闭的分类原因。

接受的值: InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected

--description

事件的说明。

--etag

Azure 资源的 Etag。

--first-activity-time-utc

事件中第一个活动的时间。

--force-string

使用“set”或“add”时，保留字符串文本，而不是尝试转换为 JSON。

接受的值: 0, 1, f, false, n, no, t, true, y, yes

--ids

一个或多个资源 ID（空格分隔）。它应该是包含“资源 ID”参数的所有信息的完整资源 ID。应提供 --id 或其他“资源 ID”参数。

--incident-id --name -n

事件 ID。

--labels

与此事件相关的标签列表支持速记语法、json-file 和 yaml-file。请尝试“？？” 以显示更多内容。

--last-activity-time-utc

事件中最后一个活动的时间。

--owner

描述事件分配给支持速记语法、json-file 和 yaml-file 的用户。请尝试“？？” 以显示更多内容。

--provider-incident-id

事件提供程序分配的事件 ID。

--provider-name

生成事件的源提供程序的名称。

--remove

从列表中删除属性或元素。示例：--remove property.list OR --remove propertyToRemove。

--resource-group -g

资源组的名称。可以使用 az configure --defaults group=<name> 配置默认组。

--set

通过指定要设置的属性路径和值来更新对象。示例：--set property1.property2=。

--severity

事件的严重性。

接受的值: High, Informational, Low, Medium

--status

事件的状态。

接受的值: Active, Closed, New

--subscription

订阅的名称或 ID。可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--title

事件的标题。

--workspace-name -w

实验

工作区的名称。

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误，取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

默认值: json

--query

JMESPath 查询字符串。有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。使用 --debug 获取完整的调试日志。

az sentinel incident

命令

az sentinel incident create

必需参数

可选参数

az sentinel incident create-team

必需参数

可选参数

az sentinel incident delete

可选参数

az sentinel incident list

必需参数

可选参数

az sentinel incident list-alert

必需参数

az sentinel incident list-bookmark

必需参数

az sentinel incident list-entity

必需参数

az sentinel incident run-playbook

必需参数

可选参数

az sentinel incident show

可选参数

az sentinel incident update

可选参数

反馈

其他资源