az sentinel incident
Uwaga
Ta dokumentacja jest częścią rozszerzenia sentinel dla interfejsu wiersza polecenia platformy Azure (wersja 2.11.0 lub nowsza). Rozszerzenie zostanie automatycznie zainstalowane przy pierwszym uruchomieniu polecenia az sentinel incident . Dowiedz się więcej o rozszerzeniach.
Zdarzenie usługi Sentinel.
Polecenia
| az sentinel incident create |
Utwórz zdarzenie. |
| az sentinel incident delete |
Usuń zdarzenie. |
| az sentinel incident list |
Pobiera wszystkie incydenty. |
| az sentinel incident show |
Pobiera zdarzenie. |
| az sentinel incident update |
Zaktualizuj zdarzenie. |
az sentinel incident create
Utwórz zdarzenie.
az sentinel incident create --incident-id
--resource-group
--workspace-name
[--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
[--classification-comment]
[--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
[--description]
[--etag]
[--first-activity-time-utc]
[--labels]
[--last-activity-time-utc]
[--owner]
[--severity {High, Informational, Low, Medium}]
[--status {Active, Closed, New}]
[--title]Przykłady
Tworzy lub aktualizuje zdarzenie.
az sentinel incident create --etag "{etag}" --description "This is a demo incident" --classification "FalsePositive" --classification-comment "Not a malicious activity" --classification-reason "IncorrectAlertLogic" --first-activity-time-utc "2019-01-01T13:00:30Z" --last-activity-time-utc "2019-01-01T13:05:30Z" --owner object-id="{oid}" --severity "High" --status "Closed" --title "My incident" --incident-id "{id}" --resource-group "myRg" --workspace-name "myWorkspace"Parametry wymagane
Identyfikator zdarzenia.
Nazwa grupy zasobów. Grupę domyślną można skonfigurować przy użyciu polecenia az configure --defaults group=<name>.
Nazwa obszaru roboczego.
Parametry opcjonalne
Przyczyna zamknięcia incydentu.
Opisuje przyczynę zamknięcia zdarzenia.
Przyczyna klasyfikacji zdarzenia została zamknięta.
Opis zdarzenia.
Etag zasobu platformy Azure.
Czas pierwszego działania w zdarzeniu.
Lista etykiet istotnych dla tego zdarzenia.
Czas ostatniego działania w zdarzeniu.
Opisuje użytkownika, do którego przypisano zdarzenie.
Ważność zdarzenia.
Stan zdarzenia.
Tytuł incydentu.
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
Format danych wyjściowych.
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Możesz skonfigurować domyślną subskrypcję przy użyciu polecenia az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj polecenia --debug, aby uzyskać pełne dzienniki debugowania.
az sentinel incident delete
Usuń zdarzenie.
az sentinel incident delete --incident-id
--resource-group
--workspace-name
[--yes]Przykłady
Usuń zdarzenie.
az sentinel incident delete --incident-id "{id}" --resource-group "myRg" --workspace-name "myWorkspace"Parametry wymagane
Identyfikator zdarzenia.
Nazwa grupy zasobów. Grupę domyślną można skonfigurować przy użyciu polecenia az configure --defaults group=<name>.
Nazwa obszaru roboczego.
Parametry opcjonalne
Nie monituj o potwierdzenie.
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
Format danych wyjściowych.
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Możesz skonfigurować domyślną subskrypcję przy użyciu polecenia az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj polecenia --debug, aby uzyskać pełne dzienniki debugowania.
az sentinel incident list
Pobiera wszystkie incydenty.
az sentinel incident list --resource-group
--workspace-name
[--filter]
[--orderby]
[--skip-token]
[--top]Przykłady
Pobierz wszystkie zdarzenia.
az sentinel incident list --orderby "properties/createdTimeUtc desc" --top 1 --resource-group "myRg" --workspace-name "myWorkspace"Parametry wymagane
Nazwa grupy zasobów. Grupę domyślną można skonfigurować przy użyciu polecenia az configure --defaults group=<name>.
Nazwa obszaru roboczego.
Parametry opcjonalne
Filtruje wyniki na podstawie warunku logicznego. Opcjonalny.
Sortuje wyniki. Opcjonalny.
Skiptoken jest używany tylko wtedy, gdy poprzednia operacja zwróciła częściowy wynik. Jeśli poprzednia odpowiedź zawiera element nextLink, wartość elementu nextLink będzie zawierać parametr skiptoken, który określa punkt wyjścia do użycia dla kolejnych wywołań. Opcjonalny.
Zwraca tylko pierwsze n wyników. Opcjonalny.
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
Format danych wyjściowych.
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Możesz skonfigurować domyślną subskrypcję przy użyciu polecenia az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj polecenia --debug, aby uzyskać pełne dzienniki debugowania.
az sentinel incident show
Pobiera zdarzenie.
az sentinel incident show --incident-id
--resource-group
--workspace-namePrzykłady
Uzyskaj zdarzenie.
az sentinel incident show --incident-id "{id}" --resource-group "myRg" --workspace-name "myWorkspace"Parametry wymagane
Identyfikator zdarzenia.
Nazwa grupy zasobów. Grupę domyślną można skonfigurować przy użyciu polecenia az configure --defaults group=<name>.
Nazwa obszaru roboczego.
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
Format danych wyjściowych.
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Możesz skonfigurować domyślną subskrypcję przy użyciu polecenia az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj polecenia --debug, aby uzyskać pełne dzienniki debugowania.
az sentinel incident update
Zaktualizuj zdarzenie.
az sentinel incident update --incident-id
--resource-group
--workspace-name
[--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
[--classification-comment]
[--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
[--description]
[--etag]
[--first-activity-time-utc]
[--labels]
[--last-activity-time-utc]
[--owner]
[--severity {High, Informational, Low, Medium}]
[--status {Active, Closed, New}]
[--title]Parametry wymagane
Identyfikator zdarzenia.
Nazwa grupy zasobów. Grupę domyślną można skonfigurować przy użyciu polecenia az configure --defaults group=<name>.
Nazwa obszaru roboczego.
Parametry opcjonalne
Przyczyna zamknięcia incydentu.
Opisuje przyczynę zamknięcia zdarzenia.
Przyczyna klasyfikacji zdarzenia została zamknięta.
Opis zdarzenia.
Etag zasobu platformy Azure.
Czas pierwszego działania w zdarzeniu.
Lista etykiet istotnych dla tego zdarzenia.
Czas ostatniego działania w zdarzeniu.
Opisuje użytkownika, do którego przypisano zdarzenie.
Ważność zdarzenia.
Stan zdarzenia.
Tytuł incydentu.
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
Format danych wyjściowych.
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Możesz skonfigurować domyślną subskrypcję przy użyciu polecenia az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj polecenia --debug, aby uzyskać pełne dzienniki debugowania.