Abfragen für die ConfigurationChange-Tabelle

Artikel
11/05/2024

Informationen zur Verwendung dieser Abfragen im Azure-Portal finden Sie im Log Analytics-Lernprogramm. Informationen zur REST-API finden Sie unter "Abfrage".

Beendete Windows-Dienste

Suchen Sie alle Windows-Dienste, die in den letzten 30 Minuten beendet wurden.

// To create an alert for this query, click '+ New alert rule'
ConfigurationChange  // (relies on the Change Tracking solution): 
| where ConfigChangeType == "WindowsServices" and SvcChangeType == "State"
| where SvcPreviousState == "Running" and SvcState == "Stopped"
| where SvcStartupType == "Auto" and TimeGenerated > ago(30m)

Softwareänderungen

Listet Softwareänderungen nach Uhrzeit auf (neuste zuerst).

ConfigurationChange
| where ConfigChangeType == "Software"
| sort by TimeGenerated desc

Dienständerungen

Listet Dienständerungen nach Uhrzeit auf (neuste zuerst).

ConfigurationChange
| where ConfigChangeType == "Services"
| sort by TimeGenerated desc

Softwareänderungstyp pro Computer

Zählen Sie Softwareänderungen nach Computer.

ConfigurationChange 
| where ConfigChangeType == "Software"
| summarize AggregatedValue = count() by Computer

Beendete Dienste

Listet angehaltene Dienständerungen nach Zeit auf.

ConfigurationChange 
| where ConfigChangeType == "WindowsServices" and SvcState == "Stopped" 
| sort by TimeGenerated desc

Anzahl der Softwareänderungen pro Kategorie

Zählen Sie Softwareänderungen nach Änderungskategorie.

ConfigurationChange
| where ConfigChangeType == "Software"
| summarize AggregatedValue = count() by ChangeCategory

Softwareänderungen entfernt

Zeigt Änderungsdatensätze für entfernte Software an.

ConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Removed"
| order by TimeGenerated desc

Freigeben über