Administración de listas de reproducción

  • 3 minutos

Se recomienda editar una lista de reproducción existente en lugar de eliminarla y volver a crearla. Log Analytics tiene un Acuerdo de Nivel de Servicio de cinco minutos para la ingesta de datos. Si elimina y vuelve a crear una lista de reproducción, es posible que vea las entradas que se han eliminado y vuelto a crear en Log Analytics durante estos cinco minutos. Si ve estas entradas duplicadas en Log Analytics durante un período de tiempo más prolongado, envíe una incidencia de soporte técnico.

Edición de un elemento de lista de reproducción

Edite una lista de reproducción para editar o agregar un elemento a la lista de reproducción.

  1. En Azure Portal, vaya a Microsoft Sentinel y seleccione el área de trabajo adecuada.

  2. En Configuración, seleccione Lista de reproducción.

  3. Seleccione la lista de reproducción que desea editar.

  4. En el panel de detalles, seleccione Actualizar lista de reproducción > Editar elementos de lista de reproducción.

  5. Para editar un elemento de lista de reproducción existente:

    1. Active la casilla de ese elemento de la lista de reproducción.

    2. Edite el elemento.

    3. Seleccione Guardar.

    4. Seleccione Sí en el mensaje de confirmación.

  6. Para agregar un nuevo elemento a la lista de reproducción:

    1. Seleccione Agregar nuevo.

    2. Rellene los campos del panel Add watchlist item (Agregar elemento de la lista de reproducción).

    3. En la parte inferior de ese panel, seleccione Agregar.

Actualización masiva de una lista de reproducción

Cuando tenga muchos elementos para agregar a una lista de reproducción, use la actualización masiva. Una actualización masiva de una lista de reproducción anexa elementos a la lista de reproducción existente. A continuación, desduplica los elementos de la lista de reproducción donde coinciden todos los valores de cada columna.

Si ha eliminado un elemento del archivo de la lista de reproducción y lo ha cargado, la actualización masiva no eliminará el elemento de la lista de reproducción existente. Elimine el elemento de la lista de reproducción individualmente. O bien, cuando tenga muchas eliminaciones, elimine y vuelva a crear la lista de reproducción.

El archivo de lista de reproducción actualizado que cargue debe contener el campo de clave de búsqueda utilizado por la lista de reproducción sin valores en blanco.

Para realizar la actualización masiva de una lista de reproducción:

  1. En Azure Portal, vaya a Microsoft Sentinel y seleccione el área de trabajo adecuada.

  2. En Configuración, seleccione Lista de reproducción.

  3. Seleccione la lista de reproducción que desea editar.

  4. En el panel de detalles, seleccione Actualizar lista de reproducción > Actualización masiva.

  5. En Cargar archivo, arrastre y coloque o busque el archivo que se cargará.

  6. Si recibe un error, corrija el problema en el archivo. A continuación, seleccione Restablecer e intente de nuevo la carga de archivos.

  7. Seleccione Siguiente: Revisar y actualizar > Actualizar.