Consultas para a tabela Lista de Observação
Obter aliases da Lista de Observação
Obtém uma lista distinta de todos os aliases da Lista de Observação numa área de trabalho.
Watchlist
| where _DTItemType == "Watchlist"
| where _DTTimestamp > ago(5d)
| distinct WatchlistAlias
Procurar eventos com uma Lista de Observação
Procurar eventos na tabela Heartbeat em relação a dados de uma Lista de Observação ao tratar a Lista de Observação como uma tabela para associações e pesquisas.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.ComputerIP == $right.SearchKey
| limit 100
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários