SentinelAudit 테이블에 대한 쿼리

Azure Portal에서 이러한 쿼리를 사용하는 방법에 대한 자세한 내용은 Log Analytics 자습서를 참조하세요. REST API는 쿼리를 참조 하세요.

Office365-Sharepoint 관련 Sentinel 리소스 업데이트 실패

호출자 이름 및 작업 영역 ID별 선택적 필터를 사용하여 Office365-Sharepoint 관련 Sentinel 리소스를 업데이트하지 못한 감사 로그를 표시합니다.

SentinelAudit
//| where WorkspaceId == "<WorkspaceId>"  // to filter on a specific WorspaceId, uncomment this line
| extend CallerName = tostring(ExtendedProperties.CallerName)
// | where CallerName startswith "<userName>" // to to filter on a specific user, uncomment this line
| where Status == "Failure"
| where SentinelResourceName has "Office365-Sharepoint"
| limit 100