次の方法で共有

ConfigurationChange テーブルのクエリ

  • [アーティクル]

Azure portal でこれらのクエリを使用する方法については、 Log Analytics のチュートリアルを参照してください。 REST API については、「 Query」を参照してください。

停止した Windows サービス

過去 30 分間に停止したすべての Windows サービスを検索します。

// To create an alert for this query, click '+ New alert rule'
ConfigurationChange  // (relies on the Change Tracking solution): 
| where ConfigChangeType == "WindowsServices" and SvcChangeType == "State"
| where SvcPreviousState == "Running" and SvcState == "Stopped"
| where SvcStartupType == "Auto" and TimeGenerated > ago(30m)

ソフトウェアの変更

時間で並べ替えられたソフトウェアの変更を一覧表示します (最新の最初)。

ConfigurationChange
| where ConfigChangeType == "Software"
| sort by TimeGenerated desc

サービスの変更

時間で並べ替えられたサービスの変更を一覧表示します (最新の最初)。

ConfigurationChange
| where ConfigChangeType == "Services"
| sort by TimeGenerated desc

コンピューターごとのソフトウェア変更の種類

コンピューターごとにソフトウェアの変更をカウントします。

ConfigurationChange 
| where ConfigChangeType == "Software"
| summarize AggregatedValue = count() by Computer

停止したサービス

停止したサービスの変更を時間順に一覧表示します。

ConfigurationChange 
| where ConfigChangeType == "WindowsServices" and SvcState == "Stopped" 
| sort by TimeGenerated desc

カテゴリごとのソフトウェア変更数

ソフトウェアの変更を変更カテゴリ別にカウントします。

ConfigurationChange
| where ConfigChangeType == "Software"
| summarize AggregatedValue = count() by ChangeCategory

削除されたソフトウェアの変更

削除されたソフトウェアの変更レコードを表示します。

ConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Removed"
| order by TimeGenerated desc