Query per la tabella Watchlist

Per informazioni sull'uso di queste query nella portale di Azure, vedere Esercitazione su Log Analytics. Per l'API REST, vedere Query.

Ottenere gli alias watchlist

Ottiene un elenco distinto di tutti gli alias watchlist in un'area di lavoro.

Watchlist
| where _DTItemType == "Watchlist"
| where _DTTimestamp > ago(5d)
| distinct WatchlistAlias

Eventi di ricerca con un watchlist

Ricerca di eventi nella tabella Heartbeat rispetto ai dati di un watchlist trattando watchlist come tabella per join e ricerche.

Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
 on $left.ComputerIP == $right.SearchKey
 | limit 100