Azure Portal에서 이러한 쿼리를 사용하는 방법에 대한 자세한 내용은 Log Analytics 자습서를 참조하세요. REST API는 쿼리를 참조 하세요.
관심 목록 별칭 가져오기
작업 영역에 있는 모든 관심 목록 별칭의 고유 목록을 가져옵니다.
Watchlist
| where _DTItemType == "Watchlist"
| where _DTTimestamp > ago(5d)
| distinct WatchlistAlias
관심 목록을 사용하여 이벤트 조회
관심 목록을 테이블로 처리하여 조인 및 조회에 사용하고, 관심 목록의 데이터를 기준으로 하트비트 테이블에서 이벤트를 조회하십시오.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.ComputerIP == $right.SearchKey
| limit 100