Query per la tabella SentinelAudit
Per informazioni sull'uso di queste query nella portale di Azure, vedere Esercitazione su Log Analytics. Per l'API REST, vedere Query.
Errori durante l'aggiornamento delle risorse di Sentinel correlate a Office365-Sharepoint
Visualizzare i log di controllo dei tentativi non riusciti di aggiornare le risorse di Sentinel correlate a Office365-Sharepoint, con un filtro facoltativo in base al nome del chiamante e all'ID dell'area di lavoro.
SentinelAudit
//| where WorkspaceId == "<WorkspaceId>" // to filter on a specific WorspaceId, uncomment this line
| extend CallerName = tostring(ExtendedProperties.CallerName)
// | where CallerName startswith "<userName>" // to to filter on a specific user, uncomment this line
| where Status == "Failure"
| where SentinelResourceName has "Office365-Sharepoint"
| limit 100