Delen via

Query's voor de tabel Volglijst

  • Artikel

Zie de zelfstudie over Log Analytics voor meer informatie over het gebruik van deze query's in Azure Portal. Zie Query voor de REST API.

Watchlist-aliassen ophalen

Hiermee haalt u een afzonderlijke lijst op met alle Watchlist-aliassen in een werkruimte.

Watchlist
| where _DTItemType == "Watchlist"
| where _DTTimestamp > ago(5d)
| distinct WatchlistAlias

Opzoekevenementen met behulp van een volglijst

Opzoekgebeurtenissen in de Heartbeat-tabel op basis van gegevens uit een Volglijst door de Watchlist te behandelen als een tabel voor joins en zoekopdrachten.

Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
 on $left.ComputerIP == $right.SearchKey
 | limit 100