Zapytania dotyczące tabeli Watchlist

Aby uzyskać informacje na temat korzystania z tych zapytań w witrynie Azure Portal, zobacz Samouczek usługi Log Analytics. Aby zapoznać się z interfejsem API REST, zobacz Zapytanie.

Uzyskiwanie aliasów listy obserwowanych

Pobiera odrębną listę wszystkich aliasów listy obserwowanych w obszarze roboczym.

Watchlist
| where _DTItemType == "Watchlist"
| where _DTTimestamp > ago(5d)
| distinct WatchlistAlias

Wyszukiwanie zdarzeń przy użyciu listy obserwowanych

Zdarzenia odnośnika w tabeli Puls względem danych z listy obserwowanych, traktując listę obserwowanych jako tabelę sprzężeń i odnośników.

Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
 on $left.ComputerIP == $right.SearchKey
 | limit 100