SentinelAudit テーブルのクエリ
Azure portal でこれらのクエリを使用する方法については、 Log Analytics のチュートリアルを参照してください。 REST API については、「 Query」を参照してください。
Office365-Sharepoint 関連の Sentinel リソースの更新エラー
Office365-Sharepoint 関連の Sentinel リソースの更新が失敗した場合の監査ログを、呼び出し元名とワークスペース ID でオプションのフィルターで表示します。
SentinelAudit
//| where WorkspaceId == "<WorkspaceId>" // to filter on a specific WorspaceId, uncomment this line
| extend CallerName = tostring(ExtendedProperties.CallerName)
// | where CallerName startswith "<userName>" // to to filter on a specific user, uncomment this line
| where Status == "Failure"
| where SentinelResourceName has "Office365-Sharepoint"
| limit 100