次の方法で共有

利用 OMS 搜尋不同種類的數據

  • [アーティクル]

MS OMS 的指令數據被分為不同種類的資料。依據工作區中所實行的方案,會有不同種類的資料。例如:警示管理方案就會產生警示資料,並可以利用以下指令搜尋:

Type=Alert

Note: 需要注意的是 Type 有些敏感,若您輸入 type = Alert 或是 type alert 都會失敗,並會顯示出 Invalid Number: Alert

在以下範例搜尋中,有1000筆結果:

 

您也可以搜尋 ADAssessmentRecommendation

Type:ADAssessmentRecommendation

Note: 您搜尋時可以使用冒號或是等號,兩者都會有效,而空白鍵也不會影響搜尋。例如:Type:Alert 、 Type=Alert、Type = Alert,都是會成功的。

可以搜尋 ProtectionStatus,會回傳惡意程式的評估:

Type:ProtectionStatus

可以使用 ConfigurationChange 種類搜尋從變更追蹤方案產生的資料:

Type=ConfigurationChange

伺服器與工作量使用了 ConfigurationObject 種類:

Type:ConfigurationObject

安全與稽核方案使用了 SecurityEvent 種類:

Type=SecurityEvent

也可以使用 WireData 和 WindowsFirewall 種類,以下兩種搜尋會回傳百萬筆結果:

Type=WireData

Type=WindowsFirewall

Container 方案使用了 ContainerImageInventory 種類來持續追蹤 container:

Type=ContainerImageInventory

可以使用 ContainerLog 種類來查看 container 紀錄:

Type=ContainerLog

SQL 評估使用了 SQLAssessmentRecommendation 種類

Type:SQLAssessmentRecommendation

系統更新方案使用了 Update 種類:

Type:Update

 

這篇文章是能被 MS OMS 搜尋工具所搜尋的種類的概觀。需注意的是,以上所列出的搜尋指令都沒有經過過濾,因此可能會產生非常大量的結果。此篇文章的目的僅是對於搜尋指令的一個概觀。詳細關於過濾資料的方法請參閱:過濾 OMS 搜尋回傳的資料

Note: 想瞭解更多 OMS 搜尋檢索,請參閱:Log Analytics 搜尋參考