Frågor för SentinelAudit-tabellen
Information om hur du använder dessa frågor i Azure Portal finns i Log Analytics-självstudien. Information om REST-API:et finns i Fråga.
Fel vid uppdatering av Office365-Sharepoint-relaterade Sentinel-resurser
Visa granskningsloggar för misslyckade försök att uppdatera Office365-Sharepoint-relaterade Sentinel-resurser med ett valfritt filter efter uppringarens namn och arbetsyte-ID.
SentinelAudit
//| where WorkspaceId == "<WorkspaceId>" // to filter on a specific WorspaceId, uncomment this line
| extend CallerName = tostring(ExtendedProperties.CallerName)
// | where CallerName startswith "<userName>" // to to filter on a specific user, uncomment this line
| where Status == "Failure"
| where SentinelResourceName has "Office365-Sharepoint"
| limit 100