你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
有关在 Azure 门户中使用这些查询的信息,请参阅 Log Analytics 教程。 有关 REST API,请参阅查询。
更新与 Office365-Sharepoint 相关的 Sentinel 资源失败
显示有关尝试更新与Office365-Sharepoint有关的Sentinel资源的失败操作的审核日志,可选择按调用者名称和工作区ID进行筛选。
SentinelAudit
//| where WorkspaceId == "<WorkspaceId>" // to filter on a specific WorspaceId, uncomment this line
| extend CallerName = tostring(ExtendedProperties.CallerName)
// | where CallerName startswith "<userName>" // to to filter on a specific user, uncomment this line
| where Status == "Failure"
| where SentinelResourceName has "Office365-Sharepoint"
| limit 100