Frågor för tabellen ConfigurationChange

Artikel
11/05/2024

Information om hur du använder dessa frågor i Azure Portal finns i Log Analytics-självstudien. Information om REST-API:et finns i Fråga.

Stoppade Windows-tjänster

Hitta alla Windows-tjänster som har stoppats under de senaste 30 minuterna.

// To create an alert for this query, click '+ New alert rule'
ConfigurationChange  // (relies on the Change Tracking solution): 
| where ConfigChangeType == "WindowsServices" and SvcChangeType == "State"
| where SvcPreviousState == "Running" and SvcState == "Stopped"
| where SvcStartupType == "Auto" and TimeGenerated > ago(30m)

Programvaruändringar

Visar en lista över programvaruändringar sorterade efter tid (senaste först).

ConfigurationChange
| where ConfigChangeType == "Software"
| sort by TimeGenerated desc

Tjänständringar

Visar en lista över tjänständringar sorterade efter tid (senaste först).

ConfigurationChange
| where ConfigChangeType == "Services"
| sort by TimeGenerated desc

Typ av programvaruändring per dator

Räkna programändringar per dator.

ConfigurationChange 
| where ConfigChangeType == "Software"
| summarize AggregatedValue = count() by Computer

Stoppade tjänster

Listor över stoppade tjänständringar sorterade efter tid.

ConfigurationChange 
| where ConfigChangeType == "WindowsServices" and SvcState == "Stopped" 
| sort by TimeGenerated desc

Antal programvaruändringar per kategori

Räkna programvaruändringar efter ändringskategori.

ConfigurationChange
| where ConfigChangeType == "Software"
| summarize AggregatedValue = count() by ChangeCategory

Programvaruändringar har tagits bort

Visar ändringsposter för borttagen programvara.

ConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Removed"
| order by TimeGenerated desc

Dela via