ウォッチリスト テーブルのクエリ

Azure portal でこれらのクエリを使用する方法については、 Log Analytics のチュートリアルを参照してください。 REST API については、「 Query」を参照してください。

Watchlist エイリアスを取得する

ワークスペース内のすべての Watchlist エイリアスの個別のリストを取得します。

Watchlist
| where _DTItemType == "Watchlist"
| where _DTTimestamp > ago(5d)
| distinct WatchlistAlias

ウォッチリストを使用してイベントを検索する

ウォッチリストを結合と参照のテーブルとして扱うことで、ウォッチリストのデータに対するハートビート テーブルのイベントを参照します。

Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
 on $left.ComputerIP == $right.SearchKey
 | limit 100