Freigeben über

Abfragen für die Watchlist-Tabelle

  • Artikel

Informationen zur Verwendung dieser Abfragen im Azure-Portal finden Sie im Log Analytics-Lernprogramm. Informationen zur REST-API finden Sie unter "Abfrage".

Abrufen von Watchlist-Aliasen

Ruft eine eindeutige Liste aller Watchlist-Aliase in einem Arbeitsbereich ab.

Watchlist
| where _DTItemType == "Watchlist"
| where _DTTimestamp > ago(5d)
| distinct WatchlistAlias

Nachschlagen von Ereignissen mithilfe einer Watchlist

Nachschlagen von Ereignissen in der Heartbeat-Tabelle anhand von Daten aus einer Watchlist durch Behandeln der Watchlist als Tabelle für Verknüpfungen und Nachschlagevorgänge.

Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
 on $left.ComputerIP == $right.SearchKey
 | limit 100