播放列表表的查询

有关在 Azure 门户中使用这些查询的信息，请参阅 Log Analytics 教程。 有关 REST API，请参阅查询。

获取播放列表别名

获取工作区中所有播放列表别名的非重复列表。

Watchlist
| where _DTItemType == "Watchlist"
| where _DTTimestamp > ago(5d)
| distinct WatchlistAlias

使用播放列表查找事件

通过将播放列表视为联接和查找表，根据播放列表中的数据在 Heartbeat 表中查找事件。

Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
 on $left.ComputerIP == $right.SearchKey
 | limit 100