SentinelAudit 數據表的查詢

如需在 Azure 入口網站 中使用這些查詢的詳細資訊，請參閱Log Analytics教學課程。 如需 REST API，請參閱 查詢。

更新 Office365-Sharepoint 相關 Sentinel 資源的失敗

顯示失敗嘗試更新 Office365-Sharepoint 相關 Sentinel 資源的稽核記錄，並依呼叫端名稱和工作區標識符選擇性篩選。

SentinelAudit
//| where WorkspaceId == "<WorkspaceId>"  // to filter on a specific WorspaceId, uncomment this line
| extend CallerName = tostring(ExtendedProperties.CallerName)
// | where CallerName startswith "<userName>" // to to filter on a specific user, uncomment this line
| where Status == "Failure"
| where SentinelResourceName has "Office365-Sharepoint"
| limit 100