Abfragen für die SentinelAudit-Tabelle
Informationen zur Verwendung dieser Abfragen im Azure-Portal finden Sie im Log Analytics-Lernprogramm. Informationen zur REST-API finden Sie unter "Abfrage".
Fehler beim Aktualisieren von Office365-SharePoint-bezogenen Sentinel-Ressourcen
Anzeigen von Überwachungsprotokollen fehlgeschlagener Versuche zum Aktualisieren von Office365-SharePoint-bezogenen Sentinel-Ressourcen mit einem optionalen Filter nach Anrufername und Arbeitsbereichs-ID.
SentinelAudit
//| where WorkspaceId == "<WorkspaceId>" // to filter on a specific WorspaceId, uncomment this line
| extend CallerName = tostring(ExtendedProperties.CallerName)
// | where CallerName startswith "<userName>" // to to filter on a specific user, uncomment this line
| where Status == "Failure"
| where SentinelResourceName has "Office365-Sharepoint"
| limit 100