Consultas para a tabela SentinelAudit
Para obter informações sobre como usar essas consultas no portal do Azure, consulte o tutorial do Log Analytics. Para a API REST, consulte Consulta.
Falhas na atualização dos recursos do Sentinel relacionados ao Office365-SharePoint
Exiba logs de auditoria de tentativas com falha de atualizar os recursos do Sentinel relacionados ao Office365-Sharepoint, com um filtro opcional por nome do chamador e ID do workspace.
SentinelAudit
//| where WorkspaceId == "<WorkspaceId>" // to filter on a specific WorspaceId, uncomment this line
| extend CallerName = tostring(ExtendedProperties.CallerName)
// | where CallerName startswith "<userName>" // to to filter on a specific user, uncomment this line
| where Status == "Failure"
| where SentinelResourceName has "Office365-Sharepoint"
| limit 100