az sentinel watchlist
Hinweis
Diese Referenz ist Teil der Sentinel-Erweiterung für die Azure CLI (Version 2.37.0 oder höher). Die Erweiterung wird automatisch installiert, wenn Sie einen az sentinel watchlist-Befehl zum ersten Mal ausführen. Weitere Informationen zu Erweiterungen
Verwalten der Watchlist mit Sentinel.
Befehle
| Name | Beschreibung | Typ | Status |
|---|---|---|---|
| az sentinel watchlist create |
Erstellen Sie eine Watchlist und deren Watchlist-Elemente (Massenerstellung, z. B. über Text/CSV-Inhaltstyp). Um eine Watchlist und deren Elemente zu erstellen, sollten wir diesen Endpunkt entweder mit rawContent- oder einer gültigen SAR-URI- und contentType-Eigenschaft aufrufen. Der rawContent wird für kleine Watchlists Standard verwendet (Inhaltsgröße unter 3,8 MB). Der SAS-URI ermöglicht die Erstellung einer großen Watchlist, bei der die Inhaltsgröße bis zu 500 MB betragen kann. Der Status der Verarbeitung einer solchen großen Datei kann über die URL abgerufen werden, die im Azure-AsyncOperation-Header zurückgegeben wird. |
Durchwahl | Experimentell |
| az sentinel watchlist delete |
Löschen einer Watchlist. |
Durchwahl | Experimentell |
| az sentinel watchlist list |
Rufen Sie alle Watchlists ohne Watchlist-Elemente ab. |
Durchwahl | Experimentell |
| az sentinel watchlist show |
Rufen Sie eine Watchlist ohne die zugehörigen Watchlist-Elemente ab. |
Durchwahl | Experimentell |
| az sentinel watchlist update |
Aktualisieren Sie eine Watchlist und deren Watchlist-Elemente (Massenerstellung, z. B. über Text/CSV-Inhaltstyp). Um eine Watchlist und deren Elemente zu erstellen, sollten wir diesen Endpunkt entweder mit rawContent- oder einer gültigen SAR-URI- und contentType-Eigenschaft aufrufen. Der rawContent wird für kleine Watchlists Standard verwendet (Inhaltsgröße unter 3,8 MB). Der SAS-URI ermöglicht die Erstellung einer großen Watchlist, bei der die Inhaltsgröße bis zu 500 MB betragen kann. Der Status der Verarbeitung einer solchen großen Datei kann über die URL abgerufen werden, die im Azure-AsyncOperation-Header zurückgegeben wird. |
Durchwahl | Experimentell |
az sentinel watchlist create
Dieser Befehl ist experimentell und wird entwickelt. Referenz- und Supportebenen: https://aka.ms/CLI_refstatus
Erstellen Sie eine Watchlist und deren Watchlist-Elemente (Massenerstellung, z. B. über Text/CSV-Inhaltstyp). Um eine Watchlist und deren Elemente zu erstellen, sollten wir diesen Endpunkt entweder mit rawContent- oder einer gültigen SAR-URI- und contentType-Eigenschaft aufrufen. Der rawContent wird für kleine Watchlists Standard verwendet (Inhaltsgröße unter 3,8 MB). Der SAS-URI ermöglicht die Erstellung einer großen Watchlist, bei der die Inhaltsgröße bis zu 500 MB betragen kann. Der Status der Verarbeitung einer solchen großen Datei kann über die URL abgerufen werden, die im Azure-AsyncOperation-Header zurückgegeben wird.
az sentinel watchlist create --name
--resource-group
--workspace-name
[--content-type]
[--created]
[--created-by]
[--default-duration]
[--description]
[--display-name]
[--etag]
[--is-deleted {0, 1, f, false, n, no, t, true, y, yes}]
[--items-search-key]
[--labels]
[--provider]
[--raw-content]
[--skip-num]
[--source]
[--source-type {Local file, Remote storage}]
[--tenant-id]
[--updated]
[--updated-by]
[--upload-status]
[--watchlist-id]
[--watchlist-type]Erforderliche Parameter
Watchlist-Alias.
Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.
Den Namen des Arbeitsbereichs
Optionale Parameter
Der Inhaltstyp des rohen Inhalts. Beispiel: text/csv oder text/tsv.
Der Zeitpunkt, zu dem die Watchlist erstellt wurde.
Beschreibt einen Benutzer, der die Watchlist Support shorthand-syntax, json-file und yaml-file erstellt hat. Probieren Sie "??" aus, um mehr anzuzeigen.
Die Standarddauer einer Watchlist (im ISO 8601-Dauerformat).
Eine Beschreibung der Watchlist.
Der Anzeigename der Watchlist.
Etag der Azure-Ressource.
Ein Flag, das angibt, ob die Watchlist gelöscht wird oder nicht.
Der Suchschlüssel wird verwendet, um die Abfrageleistung zu optimieren, wenn Watchlists für Verknüpfungen mit anderen Daten verwendet werden. Aktivieren Sie z. B. eine Spalte mit IP-Adressen, um das angegebene Suchschlüsselfeld zu sein, und verwenden Sie dieses Feld dann als Schlüsselfeld, wenn sie mit anderen Ereignisdaten nach IP-Adresse verknüpfen.
Liste der Bezeichnungen, die für diese Watchlist relevant sind: Unterstützung shorthand-syntax, json-file und yaml-file. Probieren Sie "??" aus, um mehr anzuzeigen.
Der Anbieter der Watchlist.
Der unformatierte Inhalt, der überwachungslistenelemente darstellt, die erstellt werden sollen. Bei csv/tsv-Inhaltstyp handelt es sich um den Inhalt der Datei, die vom Endpunkt analysiert wird.
Die Anzahl der Zeilen in einem CSV/tsv-Inhalt, der vor dem Header übersprungen werden soll.
Der Dateiname der Watchlist mit dem Namen "source".
Der sourceType der Watchlist.
Die tenantId, zu der die Watchlist gehört.
Das letzte Mal, wenn die Watchlist aktualisiert wurde.
Beschreibt einen Benutzer, der die Watchlist Support shorthand-syntax, json-file und yaml-file aktualisiert hat. Probieren Sie "??" aus, um mehr anzuzeigen.
Der Status des Watchlist-Uploads: Neu, InProgress oder Abgeschlossen. Pls Hinweis: Wenn ein Watchlist-Uploadstatus gleich InProgress ist, kann die Watchlist nicht gelöscht werden.
Die ID (eine GUID) der Watchlist.
Der Typ der Watchlist.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az sentinel watchlist delete
Dieser Befehl ist experimentell und wird entwickelt. Referenz- und Supportebenen: https://aka.ms/CLI_refstatus
Löschen einer Watchlist.
az sentinel watchlist delete [--ids]
[--name]
[--resource-group]
[--subscription]
[--workspace-name]
[--yes]Optionale Parameter
Eine oder mehrere Ressourcen-IDs (durch Leerzeichen getrennt). Dabei sollte es sich um eine vollständige Ressourcen-ID mit allen Informationen der Argumente "Ressourcen-ID" sein. Sie sollten entweder --ids oder andere Argumente für die Ressourcen-ID angeben.
Watchlist-Alias.
Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Den Namen des Arbeitsbereichs
Nicht zur Bestätigung auffordern
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az sentinel watchlist list
Dieser Befehl ist experimentell und wird entwickelt. Referenz- und Supportebenen: https://aka.ms/CLI_refstatus
Rufen Sie alle Watchlists ohne Watchlist-Elemente ab.
az sentinel watchlist list --resource-group
--workspace-name
[--skip-token]Erforderliche Parameter
Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.
Den Namen des Arbeitsbereichs
Optionale Parameter
Skiptoken wird nur verwendet, wenn ein vorheriger Vorgang ein Teilergebnis zurückgegeben hat. Wenn eine vorherige Antwort ein nextLink-Element enthält, enthält der Wert des nextLink-Elements einen Skiptoken-Parameter, der einen Ausgangspunkt angibt, der für nachfolgende Aufrufe verwendet werden soll. Optional.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az sentinel watchlist show
Dieser Befehl ist experimentell und wird entwickelt. Referenz- und Supportebenen: https://aka.ms/CLI_refstatus
Rufen Sie eine Watchlist ohne die zugehörigen Watchlist-Elemente ab.
az sentinel watchlist show [--ids]
[--name]
[--resource-group]
[--subscription]
[--workspace-name]Optionale Parameter
Eine oder mehrere Ressourcen-IDs (durch Leerzeichen getrennt). Dabei sollte es sich um eine vollständige Ressourcen-ID mit allen Informationen der Argumente "Ressourcen-ID" sein. Sie sollten entweder --ids oder andere Argumente für die Ressourcen-ID angeben.
Watchlist-Alias.
Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Den Namen des Arbeitsbereichs
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az sentinel watchlist update
Dieser Befehl ist experimentell und wird entwickelt. Referenz- und Supportebenen: https://aka.ms/CLI_refstatus
Aktualisieren Sie eine Watchlist und deren Watchlist-Elemente (Massenerstellung, z. B. über Text/CSV-Inhaltstyp). Um eine Watchlist und deren Elemente zu erstellen, sollten wir diesen Endpunkt entweder mit rawContent- oder einer gültigen SAR-URI- und contentType-Eigenschaft aufrufen. Der rawContent wird für kleine Watchlists Standard verwendet (Inhaltsgröße unter 3,8 MB). Der SAS-URI ermöglicht die Erstellung einer großen Watchlist, bei der die Inhaltsgröße bis zu 500 MB betragen kann. Der Status der Verarbeitung einer solchen großen Datei kann über die URL abgerufen werden, die im Azure-AsyncOperation-Header zurückgegeben wird.
az sentinel watchlist update [--add]
[--content-type]
[--created]
[--created-by]
[--default-duration]
[--description]
[--display-name]
[--etag]
[--force-string {0, 1, f, false, n, no, t, true, y, yes}]
[--ids]
[--is-deleted {0, 1, f, false, n, no, t, true, y, yes}]
[--items-search-key]
[--labels]
[--name]
[--provider]
[--raw-content]
[--remove]
[--resource-group]
[--set]
[--skip-num]
[--source]
[--source-type {Local file, Remote storage}]
[--subscription]
[--tenant-id]
[--updated]
[--updated-by]
[--upload-status]
[--watchlist-id]
[--watchlist-type]
[--workspace-name]Optionale Parameter
Fügen Sie einer Liste von Objekten ein Objekt hinzu, indem Sie ein Pfad- und Schlüsselwertpaar angeben. Beispiel: --add property.listProperty <key=value, string or JSON string>.
Der Inhaltstyp des rohen Inhalts. Beispiel: text/csv oder text/tsv.
Der Zeitpunkt, zu dem die Watchlist erstellt wurde.
Beschreibt einen Benutzer, der die Watchlist Support shorthand-syntax, json-file und yaml-file erstellt hat. Probieren Sie "??" aus, um mehr anzuzeigen.
Die Standarddauer einer Watchlist (im ISO 8601-Dauerformat).
Eine Beschreibung der Watchlist.
Der Anzeigename der Watchlist.
Etag der Azure-Ressource.
Wenn Sie "set" oder "add" verwenden, behalten Sie Zeichenfolgenliterale bei, anstatt zu versuchen, in JSON zu konvertieren.
Eine oder mehrere Ressourcen-IDs (durch Leerzeichen getrennt). Dabei sollte es sich um eine vollständige Ressourcen-ID mit allen Informationen der Argumente "Ressourcen-ID" sein. Sie sollten entweder --ids oder andere Argumente für die Ressourcen-ID angeben.
Ein Flag, das angibt, ob die Watchlist gelöscht wird oder nicht.
Der Suchschlüssel wird verwendet, um die Abfrageleistung zu optimieren, wenn Watchlists für Verknüpfungen mit anderen Daten verwendet werden. Aktivieren Sie z. B. eine Spalte mit IP-Adressen, um das angegebene Suchschlüsselfeld zu sein, und verwenden Sie dieses Feld dann als Schlüsselfeld, wenn sie mit anderen Ereignisdaten nach IP-Adresse verknüpfen.
Liste der Bezeichnungen, die für diese Watchlist relevant sind: Unterstützung shorthand-syntax, json-file und yaml-file. Probieren Sie "??" aus, um mehr anzuzeigen.
Watchlist-Alias.
Der Anbieter der Watchlist.
Der unformatierte Inhalt, der überwachungslistenelemente darstellt, die erstellt werden sollen. Bei csv/tsv-Inhaltstyp handelt es sich um den Inhalt der Datei, die vom Endpunkt analysiert wird.
Entfernen sie eine Eigenschaft oder ein Element aus einer Liste. Beispiel: --remove property.list OR --remove propertyToRemove.
Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.
Aktualisieren Sie ein Objekt, indem Sie einen festzulegenden Eigenschaftspfad und -wert angeben. Beispiel: --set property1.property2=.
Die Anzahl der Zeilen in einem CSV/tsv-Inhalt, der vor dem Header übersprungen werden soll.
Der Dateiname der Watchlist mit dem Namen "source".
Der sourceType der Watchlist.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Die tenantId, zu der die Watchlist gehört.
Das letzte Mal, wenn die Watchlist aktualisiert wurde.
Beschreibt einen Benutzer, der die Watchlist Support shorthand-syntax, json-file und yaml-file aktualisiert hat. Probieren Sie "??" aus, um mehr anzuzeigen.
Der Status des Watchlist-Uploads: Neu, InProgress oder Abgeschlossen. Pls Hinweis: Wenn ein Watchlist-Uploadstatus gleich InProgress ist, kann die Watchlist nicht gelöscht werden.
Die ID (eine GUID) der Watchlist.
Der Typ der Watchlist.
Den Namen des Arbeitsbereichs
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
