ConfidentialWatchlist テーブルのクエリ

Azure portal でこれらのクエリを使用する方法については、 Log Analytics のチュートリアルを参照してください。 REST API については、「 Query」を参照してください。

機密性の高い Watchlist エイリアスを取得する

ワークスペース内のすべての機密ウォッチリスト エイリアスの個別のリストを取得します。

ConfidentialWatchlist
| take 100

機密ウォッチリストを使用してイベントを参照する

機密性の高いウォッチリストを結合と参照のテーブルとして扱うことで、ウォッチリストのデータに対するハートビート テーブルのイベントを参照します。

Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
 on $left.ComputerIP == $right.SearchKey
 | limit 100