Requêtes pour la table SentinelAudit
Pour plus d’informations sur l’utilisation de ces requêtes dans le Portail Azure, consultez le didacticiel Log Analytics. Pour l’API REST, consultez Requête.
Échecs de mise à jour des ressources Sentinel associées à Office365-Sharepoint
Afficher les journaux d’audit des tentatives ayant échoué pour mettre à jour les ressources Sentinel associées à Office365-Sharepoint, avec un filtre facultatif par nom d’appelant et ID d’espace de travail.
SentinelAudit
//| where WorkspaceId == "<WorkspaceId>" // to filter on a specific WorspaceId, uncomment this line
| extend CallerName = tostring(ExtendedProperties.CallerName)
// | where CallerName startswith "<userName>" // to to filter on a specific user, uncomment this line
| where Status == "Failure"
| where SentinelResourceName has "Office365-Sharepoint"
| limit 100