Requêtes pour la table Watchlist

Pour plus d’informations sur l’utilisation de ces requêtes dans le Portail Azure, consultez le didacticiel Log Analytics. Pour l’API REST, consultez Requête.

Obtenir des alias Watchlist

Obtient une liste distincte de tous les alias Watchlist dans un espace de travail.

Watchlist
| where _DTItemType == "Watchlist"
| where _DTTimestamp > ago(5d)
| distinct WatchlistAlias

Événements de recherche à l’aide d’une liste de surveillance

Événements de recherche dans la table Pulsations par rapport aux données d’une watchlist en traitant la liste de surveillance comme une table pour les jointures et les recherches.

Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
 on $left.ComputerIP == $right.SearchKey
 | limit 100