有关在 Azure 门户中使用这些查询的信息,请参阅 Log Analytics 教程。 有关 REST API,请参阅 查询。
案例的最新更改
显示特定案例的最后 10 个字段级更改,包括谁进行了更改和修改的内容。
// Last 10 changes on a specific case
SecurityCaseEvent
| where EntityId == 'INC-001'
| mv-expand PropertyNames, PreviousValues, NewValues
| extend
PropertyNames = tostring(PropertyNames),
PreviousValues = tostring(PreviousValues),
NewValues = tostring(NewValues)
| project EventTime, ModifiedBy, OperationName, PropertyNames, PreviousValues, NewValues
| order by EventTime desc
| take 10
按状态排除值的情况
通过重播“创建”和“更新”事件查找当前状态不是特定值的所有情况。
// Find all cases where Status is not "Redirected"
SecurityCaseEvent
| where EventTime >= ago(30d)
| where EntityType == 'Case'
| where OperationName in ('Create', 'Update')
| mv-expand PropertyNames, NewValues
| extend PropertyNames = tostring(PropertyNames), NewValues = tostring(NewValues)
| where PropertyNames == 'Status'
| summarize arg_max(EventTime, NewValues) by EntityId
| where NewValues != 'Redirected'