Consultas para a tabela Watchlist

Para obter informações sobre como usar essas consultas no portal do Azure, consulte o tutorial do Log Analytics. Para a API REST, consulte Consulta.

Obter aliases da lista de observação

Obtém uma lista distinta de todos os aliases da Lista de Observação em um workspace.

Watchlist
| where _DTItemType == "Watchlist"
| where _DTTimestamp > ago(5d)
| distinct WatchlistAlias

Eventos de pesquisa usando uma lista de controle

Eventos de pesquisa na tabela Heartbeat em relação aos dados de uma lista de observação, tratando a lista de observação como uma tabela para junções e pesquisas.

Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
 on $left.ComputerIP == $right.SearchKey
 | limit 100