你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

az sentinel watchlist

Note

This reference is part of the sentinel extension for the Azure CLI (version 2.37.0 or higher). 该扩展将在首次运行 az sentinel watchlist 命令时自动安装。 Learn more about extensions.

使用 sentinel 管理监视列表。

命令

名称	说明	类型	Status
az sentinel watchlist create	创建监视列表及其监视列表项（批量创建，例如通过文本/csv 内容类型）。若要创建监视列表及其项，应使用 rawContent 或有效的 SAR URI 和 contentType 属性调用此终结点。 rawContent 主要用于小型监视列表（内容大小低于 3.8 MB）。 SAS URI 允许创建大型监视列表，其中内容大小最多可达到 500 MB。可以通过 Azure-AsyncOperation 标头中返回的 URL 轮询处理此类大型文件的状态。	Extension	Experimental
az sentinel watchlist delete	删除监视列表。	Extension	Experimental
az sentinel watchlist list	获取所有监视列表，而不获取监视列表项。	Extension	Experimental
az sentinel watchlist show	获取监视列表，而不获取其监视列表项。	Extension	Experimental
az sentinel watchlist update	更新监视列表及其监视列表项（批量创建，例如通过文本/csv 内容类型）。若要创建监视列表及其项，应使用 rawContent 或有效的 SAR URI 和 contentType 属性调用此终结点。 rawContent 主要用于小型监视列表（内容大小低于 3.8 MB）。 SAS URI 允许创建大型监视列表，其中内容大小最多可达到 500 MB。可以通过 Azure-AsyncOperation 标头中返回的 URL 轮询处理此类大型文件的状态。	Extension	Experimental

az sentinel watchlist create

实验

此命令是实验性的，正在开发中。参考和支持级别：https://aka.ms/CLI_refstatus

创建监视列表及其监视列表项（批量创建，例如通过文本/csv 内容类型）。若要创建监视列表及其项，应使用 rawContent 或有效的 SAR URI 和 contentType 属性调用此终结点。 rawContent 主要用于小型监视列表（内容大小低于 3.8 MB）。 SAS URI 允许创建大型监视列表，其中内容大小最多可达到 500 MB。可以通过 Azure-AsyncOperation 标头中返回的 URL 轮询处理此类大型文件的状态。

az sentinel watchlist create --name --watchlist-alias
                             --resource-group
                             --workspace-name
                             [--content-type]
                             [--created]
                             [--created-by]
                             [--default-duration]
                             [--description]
                             [--display-name]
                             [--etag]
                             [--is-deleted {0, 1, f, false, n, no, t, true, y, yes}]
                             [--items-search-key]
                             [--labels]
                             [--provider]
                             [--raw-content]
                             [--skip-num]
                             [--source]
                             [--source-type {Local file, Remote storage}]
                             [--tenant-id]
                             [--updated]
                             [--updated-by]
                             [--upload-status]
                             [--watchlist-id]
                             [--watchlist-type]

必需参数

--name --watchlist-alias -n

Watchlist Alias.

--resource-group -g

资源组的名称。可以使用 az configure --defaults group=<name>配置默认组。

--workspace-name -w

实验

工作区的名称。

可选参数

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--content-type

原始内容的内容类型。示例：text/csv 或 text/tsv。

属性	值
Parameter group:	Properties Arguments

--created

创建监视列表的时间。

属性	值
Parameter group:	Properties Arguments

--created-by

描述创建监视列表的用户支持速记语法、json-file 和 yaml-file。请尝试“？？” 以显示更多内容。

属性	值
Parameter group:	Properties Arguments

--default-duration

监视列表的默认持续时间（采用 ISO 8601 持续时间格式）。

属性	值
Parameter group:	Properties Arguments

--description

监视列表的说明。

属性	值
Parameter group:	Properties Arguments

--display-name

监视列表的显示名称。

属性	值
Parameter group:	Properties Arguments

--etag

Azure 资源的 Etag。

属性	值
Parameter group:	Watchlist Arguments

--is-deleted

一个标志，指示是否删除了监视列表。

属性	值
Parameter group:	Properties Arguments
接受的值:	0, 1, f, false, n, no, t, true, y, yes

--items-search-key

使用监视列表与其他数据联接时，搜索键用于优化查询性能。例如，启用 IP 地址为指定 SearchKey 字段的列，然后在按 IP 地址联接到其他事件数据时将此字段用作键字段。

属性	值
Parameter group:	Properties Arguments

--labels

与此监视列表相关的标签列表支持速记语法、json-file 和 yaml-file。请尝试“？？” 以显示更多内容。

属性	值
Parameter group:	Properties Arguments

--provider

监视列表的提供程序。

属性	值
Parameter group:	Properties Arguments

--raw-content

表示要创建的监视列表项的原始内容。对于 csv/tsv 内容类型，它是将由终结点分析的文件的内容。

属性	值
Parameter group:	Properties Arguments

--skip-num

要跳过标头之前的 csv/tsv 内容中的行数。

属性	值
Parameter group:	Properties Arguments

--source

监视列表的文件名，称为“source”。

属性	值
Parameter group:	Properties Arguments

--source-type

监视列表的 sourceType。

属性	值
Parameter group:	Properties Arguments
接受的值:	Local file, Remote storage

--tenant-id

监视列表所属的 tenantId。

属性	值
Parameter group:	Properties Arguments

--updated

上次更新监视列表的时间。

属性	值
Parameter group:	Properties Arguments

--updated-by

描述更新监视列表的用户支持速记语法、json-file 和 yaml-file。请尝试“？？” 以显示更多内容。

属性	值
Parameter group:	Properties Arguments

--upload-status

监视列表上传的状态：新建、InProgress 或 Complete。 Pls 注意：当监视列表上传状态等于 InProgress 时，无法删除监视列表。

属性	值
Parameter group:	Properties Arguments

--watchlist-id

监视列表的 ID（Guid）。

属性	值
Parameter group:	Properties Arguments

--watchlist-type

监视列表的类型。

属性	值
Parameter group:	Properties Arguments

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

属性	值
默认值:	False

--help -h

显示此帮助消息并退出。

--only-show-errors

仅显示错误，禁止显示警告。

属性	值
默认值:	False

--output -o

Output format.

属性	值
默认值:	json
接受的值:	json, jsonc, none, table, tsv, yaml, yamlc

--query

JMESPath 查询字符串。有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

增加日志记录详细程度。使用 --debug 获取完整的调试日志。

属性	值
默认值:	False

az sentinel watchlist delete

实验

此命令是实验性的，正在开发中。参考和支持级别：https://aka.ms/CLI_refstatus

删除监视列表。

az sentinel watchlist delete [--ids]
                             [--name --watchlist-alias]
                             [--resource-group]
                             [--subscription]
                             [--workspace-name]
                             [--yes]

可选参数

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--ids

一个或多个资源 ID（以空格分隔）。它应该是包含“Resource Id”参数的所有信息的完整资源 ID。应提供 --ids 或其他“Resource Id”参数。

属性	值
Parameter group:	Resource Id Arguments

--name --watchlist-alias -n

Watchlist Alias.

属性	值
Parameter group:	Resource Id Arguments

--resource-group -g

资源组的名称。可以使用 az configure --defaults group=<name>配置默认组。

属性	值
Parameter group:	Resource Id Arguments

--subscription

订阅的名称或 ID。可以使用 az account set -s NAME_OR_ID 配置默认订阅。

属性	值
Parameter group:	Resource Id Arguments

--workspace-name -w

实验

工作区的名称。

属性	值
Parameter group:	Resource Id Arguments

--yes -y

不要提示确认。

属性	值
默认值:	False

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

属性	值
默认值:	False

--help -h

显示此帮助消息并退出。

--only-show-errors

仅显示错误，禁止显示警告。

属性	值
默认值:	False

--output -o

Output format.

属性	值
默认值:	json
接受的值:	json, jsonc, none, table, tsv, yaml, yamlc

--query

JMESPath 查询字符串。有关更多信息和示例，请参阅 http://jmespath.org/。

--verbose

增加日志记录详细程度。使用 --debug 获取完整的调试日志。

属性	值
默认值:	False

az sentinel watchlist list

实验

此命令是实验性的，正在开发中。参考和支持级别：https://aka.ms/CLI_refstatus

获取所有监视列表，而不获取监视列表项。

az sentinel watchlist list --resource-group
                           --workspace-name
                           [--skip-token]

必需参数

--resource-group -g

资源组的名称。可以使用 az configure --defaults group=<name>配置默认组。

--workspace-name -w

实验

工作区的名称。

可选参数

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--skip-token

仅当以前的作返回了部分结果时，才使用 Skiptoken。如果以前的响应包含 nextLink 元素，则 nextLink 元素的值将包含一个 skiptoken 参数，该参数指定用于后续调用的起点。 Optional.

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

属性	值
默认值:	False

--help -h

显示此帮助消息并退出。

--only-show-errors

仅显示错误，禁止显示警告。

属性	值
默认值:	False

--output -o

Output format.

属性	值
默认值:	json
接受的值:	json, jsonc, none, table, tsv, yaml, yamlc

--query

JMESPath 查询字符串。有关更多信息和示例，请参阅 http://jmespath.org/。

--subscription

订阅的名称或 ID。可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

增加日志记录详细程度。使用 --debug 获取完整的调试日志。

属性	值
默认值:	False

az sentinel watchlist show

实验

此命令是实验性的，正在开发中。参考和支持级别：https://aka.ms/CLI_refstatus

获取监视列表，而不获取其监视列表项。

az sentinel watchlist show [--ids]
                           [--name --watchlist-alias]
                           [--resource-group]
                           [--subscription]
                           [--workspace-name]

可选参数

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--ids

一个或多个资源 ID（以空格分隔）。它应该是包含“Resource Id”参数的所有信息的完整资源 ID。应提供 --ids 或其他“Resource Id”参数。

属性	值
Parameter group:	Resource Id Arguments

--name --watchlist-alias -n

Watchlist Alias.

属性	值
Parameter group:	Resource Id Arguments

--resource-group -g

资源组的名称。可以使用 az configure --defaults group=<name>配置默认组。

属性	值
Parameter group:	Resource Id Arguments

--subscription

订阅的名称或 ID。可以使用 az account set -s NAME_OR_ID 配置默认订阅。

属性	值
Parameter group:	Resource Id Arguments

--workspace-name -w

实验

工作区的名称。

属性	值
Parameter group:	Resource Id Arguments

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

属性	值
默认值:	False

--help -h

显示此帮助消息并退出。

--only-show-errors

仅显示错误，禁止显示警告。

属性	值
默认值:	False

--output -o

Output format.

属性	值
默认值:	json
接受的值:	json, jsonc, none, table, tsv, yaml, yamlc

--query

JMESPath 查询字符串。有关更多信息和示例，请参阅 http://jmespath.org/。

--verbose

增加日志记录详细程度。使用 --debug 获取完整的调试日志。

属性	值
默认值:	False

az sentinel watchlist update

实验

此命令是实验性的，正在开发中。参考和支持级别：https://aka.ms/CLI_refstatus

更新监视列表及其监视列表项（批量创建，例如通过文本/csv 内容类型）。若要创建监视列表及其项，应使用 rawContent 或有效的 SAR URI 和 contentType 属性调用此终结点。 rawContent 主要用于小型监视列表（内容大小低于 3.8 MB）。 SAS URI 允许创建大型监视列表，其中内容大小最多可达到 500 MB。可以通过 Azure-AsyncOperation 标头中返回的 URL 轮询处理此类大型文件的状态。

az sentinel watchlist update [--add]
                             [--content-type]
                             [--created]
                             [--created-by]
                             [--default-duration]
                             [--description]
                             [--display-name]
                             [--etag]
                             [--force-string {0, 1, f, false, n, no, t, true, y, yes}]
                             [--ids]
                             [--is-deleted {0, 1, f, false, n, no, t, true, y, yes}]
                             [--items-search-key]
                             [--labels]
                             [--name --watchlist-alias]
                             [--provider]
                             [--raw-content]
                             [--remove]
                             [--resource-group]
                             [--set]
                             [--skip-num]
                             [--source]
                             [--source-type {Local file, Remote storage}]
                             [--subscription]
                             [--tenant-id]
                             [--updated]
                             [--updated-by]
                             [--upload-status]
                             [--watchlist-id]
                             [--watchlist-type]
                             [--workspace-name]

可选参数

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--add

通过指定路径和键值对将对象添加到对象列表。示例：--add property.listProperty <key=value, string or JSON string>。

属性	值
Parameter group:	Generic Update Arguments

--content-type

原始内容的内容类型。示例：text/csv 或 text/tsv。

属性	值
Parameter group:	Properties Arguments

--created

创建监视列表的时间。

属性	值
Parameter group:	Properties Arguments

--created-by

描述创建监视列表的用户支持速记语法、json-file 和 yaml-file。请尝试“？？” 以显示更多内容。

属性	值
Parameter group:	Properties Arguments

--default-duration

监视列表的默认持续时间（采用 ISO 8601 持续时间格式）。

属性	值
Parameter group:	Properties Arguments

--description

监视列表的说明。

属性	值
Parameter group:	Properties Arguments

--display-name

监视列表的显示名称。

属性	值
Parameter group:	Properties Arguments

--etag

Azure 资源的 Etag。

属性	值
Parameter group:	Watchlist Arguments

--force-string

使用“set”或“add”时，保留字符串文本，而不是尝试转换为 JSON。

属性	值
Parameter group:	Generic Update Arguments
接受的值:	0, 1, f, false, n, no, t, true, y, yes

--ids

一个或多个资源 ID（以空格分隔）。它应该是包含“Resource Id”参数的所有信息的完整资源 ID。应提供 --ids 或其他“Resource Id”参数。

属性	值
Parameter group:	Resource Id Arguments

--is-deleted

一个标志，指示是否删除了监视列表。

属性	值
Parameter group:	Properties Arguments
接受的值:	0, 1, f, false, n, no, t, true, y, yes

--items-search-key

属性	值
Parameter group:	Properties Arguments

--labels

与此监视列表相关的标签列表支持速记语法、json-file 和 yaml-file。请尝试“？？” 以显示更多内容。

属性	值
Parameter group:	Properties Arguments

--name --watchlist-alias -n

Watchlist Alias.

属性	值
Parameter group:	Resource Id Arguments

--provider

监视列表的提供程序。

属性	值
Parameter group:	Properties Arguments

--raw-content

表示要创建的监视列表项的原始内容。对于 csv/tsv 内容类型，它是将由终结点分析的文件的内容。

属性	值
Parameter group:	Properties Arguments

--remove

从列表中删除属性或元素。示例： --remove property.list <indexToRemove> OR --remove propertyToRemove.

属性	值
Parameter group:	Generic Update Arguments

--resource-group -g

资源组的名称。可以使用 az configure --defaults group=<name>配置默认组。

属性	值
Parameter group:	Resource Id Arguments

--set

通过指定要设置的属性路径和值来更新对象。示例：--set property1.property2=<value>。

属性	值
Parameter group:	Generic Update Arguments

--skip-num

要跳过标头之前的 csv/tsv 内容中的行数。

属性	值
Parameter group:	Properties Arguments

--source

监视列表的文件名，称为“source”。

属性	值
Parameter group:	Properties Arguments

--source-type

监视列表的 sourceType。

属性	值
Parameter group:	Properties Arguments
接受的值:	Local file, Remote storage

--subscription

订阅的名称或 ID。可以使用 az account set -s NAME_OR_ID 配置默认订阅。

属性	值
Parameter group:	Resource Id Arguments

--tenant-id

监视列表所属的 tenantId。

属性	值
Parameter group:	Properties Arguments

--updated

上次更新监视列表的时间。

属性	值
Parameter group:	Properties Arguments

--updated-by

描述更新监视列表的用户支持速记语法、json-file 和 yaml-file。请尝试“？？” 以显示更多内容。

属性	值
Parameter group:	Properties Arguments

--upload-status

监视列表上传的状态：新建、InProgress 或 Complete。 Pls 注意：当监视列表上传状态等于 InProgress 时，无法删除监视列表。

属性	值
Parameter group:	Properties Arguments

--watchlist-id

监视列表的 ID（Guid）。

属性	值
Parameter group:	Properties Arguments

--watchlist-type

监视列表的类型。

属性	值
Parameter group:	Properties Arguments

--workspace-name -w

实验

工作区的名称。

属性	值
Parameter group:	Resource Id Arguments

全局参数

--debug

提高日志记录详细程度以显示所有调试日志。

属性	值
默认值:	False

--help -h

显示此帮助消息并退出。

--only-show-errors

仅显示错误，禁止显示警告。

属性	值
默认值:	False

--output -o

Output format.

属性	值
默认值:	json
接受的值:	json, jsonc, none, table, tsv, yaml, yamlc

--query

JMESPath 查询字符串。有关更多信息和示例，请参阅 http://jmespath.org/。

--verbose

增加日志记录详细程度。使用 --debug 获取完整的调试日志。

属性	值
默认值:	False

通过

az sentinel watchlist

命令

az sentinel watchlist create

必需参数

可选参数

az sentinel watchlist delete

可选参数

az sentinel watchlist list

必需参数

可选参数

az sentinel watchlist show

可选参数

az sentinel watchlist update

可选参数

反馈