Запросы для таблицы SentinelAudit
Сведения об использовании этих запросов в портал Azure см. в руководстве по Log Analytics. Сведения о REST API см. в разделе "Запрос".
Сбои при обновлении ресурсов Office365-SharePoint, связанных с Sentinel
Отображение журналов аудита неудачных попыток обновления ресурсов Sentinel, связанных с Office365-Sharepoint, с необязательным фильтром по имени вызывающего объекта и идентификатору рабочей области.
SentinelAudit
//| where WorkspaceId == "<WorkspaceId>" // to filter on a specific WorspaceId, uncomment this line
| extend CallerName = tostring(ExtendedProperties.CallerName)
// | where CallerName startswith "<userName>" // to to filter on a specific user, uncomment this line
| where Status == "Failure"
| where SentinelResourceName has "Office365-Sharepoint"
| limit 100