管理播放列表

• 3 分钟

我们建议你编辑现有的播放列表，而不是删除并重新创建播放列表。 对于数据引入，日志分析具有五分钟的 SLA。 如果删除并重新创建监视列表，你可能会在该五分钟时间内看到 Log Analytics 中已删除和重新创建的条目。 如果你长时间在 Log Analytics 中看到这些相同条目，请提交支持票证。

编辑播放列表项

编辑监视列表，以编辑项目或将项目添加到监视列表。

1. 在 Azure 门户中，转到 Microsoft Sentinel 并选择适当的工作区。

2. 在“配置”下，选择“监视列表”。

3. 选择要编辑的监视列表。

4. 在细节窗格中，选择“更新监视列表”>“编辑监视列表项”。

5. 若要编辑现有的播放列表项，

   1. 请选中该监视列表项的复选框。

   2. 编辑项。

   3. 选择“保存”。

   4. 在出现确认提示时单击“是”。

6. 若要将新项添加到播放列表，

   1. 选择“添加新订阅”。

   2. 填写“添加监视列表项”面板中的字段。

   3. 在面板底部选择“添加”。

批量更新播放列表

如果要添加到播放列表的项很多，请使用批量更新。 批量更新播放列表会将项追加到现有播放列表。 然后，它会对播放列表中的项进行重复数据删除，其中每个列中的所有值都匹配。

如果已从播放列表文件中删除某个项并将其上传，则批量更新将不会删除现有播放列表中的项。 单独删除播放列表项。 如果有很多需要删除的项，也可直接删除并重新创建监视列表。

上传的更新播放列表文件必须包含播放列表使用的搜索关键字字段，而不包含空值。

若要批量更新播放列表，

1. 在 Azure 门户中，转到 Microsoft Sentinel 并选择适当的工作区。

2. 在“配置”下，选择“监视列表”。

3. 选择要编辑的监视列表。

4. 在细节窗格中，选择“更新监视列表”>“批量更新”。

5. 在“上传文件”下，拖放或浏览到要上传的文件。

6. 如果遇到错误，请修复文件中的问题。 然后选择“重置”，并尝试再次上传文件。

7. 选择“下一步: 查看并更新”>“更新”。