Query per la tabella ConfigurationChange

Per informazioni sull'uso di queste query nella portale di Azure, vedere Esercitazione su Log Analytics. Per l'API REST, vedere Query.

Servizi Windows arrestati

Trovare tutti i servizi windows arrestati negli ultimi 30 minuti.

// To create an alert for this query, click '+ New alert rule'
ConfigurationChange  // (relies on the Change Tracking solution): 
| where ConfigChangeType == "WindowsServices" and SvcChangeType == "State"
| where SvcPreviousState == "Running" and SvcState == "Stopped"
| where SvcStartupType == "Auto" and TimeGenerated > ago(30m)

Modifiche software

Elenca le modifiche software ordinate in base all'ora (più recente).

ConfigurationChange
| where ConfigChangeType == "Software"
| sort by TimeGenerated desc

Modifiche al servizio

Elenca le modifiche al servizio ordinate in base all'ora (più recente).

ConfigurationChange
| where ConfigChangeType == "Services"
| sort by TimeGenerated desc

Tipo di modifica software per computer

Conta le modifiche software in base al computer.

ConfigurationChange 
| where ConfigChangeType == "Software"
| summarize AggregatedValue = count() by Computer

Servizi arrestati

Elenca le modifiche al servizio arrestate ordinate in base all'ora.

ConfigurationChange 
| where ConfigChangeType == "WindowsServices" and SvcState == "Stopped" 
| sort by TimeGenerated desc

Numero di modifiche software per categoria

Conteggia le modifiche software in base alla categoria delle modifiche.

ConfigurationChange
| where ConfigChangeType == "Software"
| summarize AggregatedValue = count() by ChangeCategory

Modifiche software rimosse

Mostra i record di modifica per il software rimosso.

ConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Removed"
| order by TimeGenerated desc