az sentinel watchlist
Note
Эта ссылка является частью расширения sentinel для Azure CLI (версия 2.37.0 или более поздней). Расширение будет автоматически устанавливаться при первом запуске команды az sentinel watchlist. Подробнее о расширениях.
Управление списком наблюдения с помощью sentinel.
Команды
| Имя | Описание | Тип | Состояние |
|---|---|---|---|
| az sentinel watchlist create |
Создайте список отслеживания и его элементы списка отслеживания (массовое создание, например с помощью типа содержимого text/csv). Чтобы создать список отслеживания и его элементы, необходимо вызвать эту конечную точку с помощью rawContent или допустимых свойств URI SAR и contentType. RawContent в основном используется для небольшого списка наблюдения (размер содержимого ниже 3,8 МБ). URI SAS позволяет создать большой список наблюдения, где размер содержимого может превышать 500 МБ. Состояние обработки такого большого файла можно опрашивировать по URL-адресу, возвращенном в заголовке Azure-AsyncOperation. |
Extension | Experimental |
| az sentinel watchlist delete |
Удаление списка наблюдения. |
Extension | Experimental |
| az sentinel watchlist list |
Получение всех списков наблюдения без элементов списка наблюдения. |
Extension | Experimental |
| az sentinel watchlist show |
Получите список наблюдения без элементов списка наблюдения. |
Extension | Experimental |
| az sentinel watchlist update |
Обновите список наблюдения и его элементы списка наблюдения (массовое создание, например с помощью типа содержимого text/csv). Чтобы создать список отслеживания и его элементы, необходимо вызвать эту конечную точку с помощью rawContent или допустимых свойств URI SAR и contentType. RawContent в основном используется для небольшого списка наблюдения (размер содержимого ниже 3,8 МБ). URI SAS позволяет создать большой список наблюдения, где размер содержимого может превышать 500 МБ. Состояние обработки такого большого файла можно опрашивировать по URL-адресу, возвращенном в заголовке Azure-AsyncOperation. |
Extension | Experimental |
az sentinel watchlist create
Эта команда является экспериментальной и в стадии разработки. Уровни справки и поддержки: https://aka.ms/CLI_refstatus
Создайте список отслеживания и его элементы списка отслеживания (массовое создание, например с помощью типа содержимого text/csv). Чтобы создать список отслеживания и его элементы, необходимо вызвать эту конечную точку с помощью rawContent или допустимых свойств URI SAR и contentType. RawContent в основном используется для небольшого списка наблюдения (размер содержимого ниже 3,8 МБ). URI SAS позволяет создать большой список наблюдения, где размер содержимого может превышать 500 МБ. Состояние обработки такого большого файла можно опрашивировать по URL-адресу, возвращенном в заголовке Azure-AsyncOperation.
az sentinel watchlist create --name --watchlist-alias
--resource-group
--workspace-name
[--content-type]
[--created]
[--created-by]
[--default-duration]
[--description]
[--display-name]
[--etag]
[--is-deleted {0, 1, f, false, n, no, t, true, y, yes}]
[--items-search-key]
[--labels]
[--provider]
[--raw-content]
[--skip-num]
[--source]
[--source-type {Local file, Remote storage}]
[--tenant-id]
[--updated]
[--updated-by]
[--upload-status]
[--watchlist-id]
[--watchlist-type]Обязательные параметры
Псевдоним списка наблюдения.
Имя группы ресурсов. Группу по умолчанию можно настроить с помощью az configure --defaults group=<name>.
Имя рабочей области.
Необязательные параметры
The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.
Тип контента необработанного содержимого. Пример: text/csv или text/tsv.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Время создания списка наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Описывает пользователя, создавшего краткий синтаксис списка отслеживания, json-file и yaml-file. Попробуйте "??", чтобы показать больше.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Длительность списка наблюдения по умолчанию (в формате длительности ISO 8601).
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Описание списка наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Отображаемое имя списка наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Etag ресурса Azure.
| Свойство | Значение |
|---|---|
| Parameter group: | Watchlist Arguments |
Флаг, указывающий, удаляется ли список наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
| Допустимые значения: | 0, 1, f, false, n, no, t, true, y, yes |
Ключ поиска используется для оптимизации производительности запросов при использовании списков наблюдения для соединений с другими данными. Например, включите столбец с IP-адресами в качестве указанного поля SearchKey, а затем используйте это поле в качестве ключевого поля при присоединении к другим данным события по IP-адресу.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Список меток, относящихся к этому списку отслеживания, поддержка сокращенного синтаксиса, json-file и yaml-file. Попробуйте "??", чтобы показать больше.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Поставщик списка наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Необработанное содержимое, представляющее элементы списка для создания. В случае типа контента csv/tsv это содержимое файла, который будет анализироваться конечной точкой.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Количество строк в содержимом csv/tsv, пропускаемых перед заголовком.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Имя файла списка наблюдения с именем source.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
SourceType списка отслеживания.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
| Допустимые значения: | Local file, Remote storage |
Идентификатор клиента, к которому принадлежит список наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
При последнем обновлении списка наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Описывает пользователя, который обновил краткий синтаксис списка отслеживания, json-file и yaml-file. Попробуйте "??", чтобы показать больше.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Состояние отправки списка наблюдения: New, InProgress или Complete. Примечание pls. Если состояние отправки списка наблюдения равно InProgress, список наблюдения не может быть удален.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Идентификатор (guid) списка наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Тип списка наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
| Свойство | Значение |
|---|---|
| Default value: | False |
Показать это сообщение справки и выйти.
Отображать только ошибки, не показывая предупреждения.
| Свойство | Значение |
|---|---|
| Default value: | False |
Формат вывода.
| Свойство | Значение |
|---|---|
| Default value: | json |
| Допустимые значения: | json, jsonc, none, table, tsv, yaml, yamlc |
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.
Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.
| Свойство | Значение |
|---|---|
| Default value: | False |
az sentinel watchlist delete
Эта команда является экспериментальной и в стадии разработки. Уровни справки и поддержки: https://aka.ms/CLI_refstatus
Удаление списка наблюдения.
az sentinel watchlist delete [--ids]
[--name --watchlist-alias]
[--resource-group]
[--subscription]
[--workspace-name]
[--yes]Необязательные параметры
The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.
Один или несколько идентификаторов ресурсов (разделенных пробелами). Это должен быть полный идентификатор ресурса, содержащий все сведения о аргументах Resource Id. Необходимо указать аргументы --ids или другие параметры 'Resource Id'.
| Свойство | Значение |
|---|---|
| Parameter group: | Resource Id Arguments |
Псевдоним списка наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Resource Id Arguments |
Имя группы ресурсов. Группу по умолчанию можно настроить с помощью az configure --defaults group=<name>.
| Свойство | Значение |
|---|---|
| Parameter group: | Resource Id Arguments |
Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.
| Свойство | Значение |
|---|---|
| Parameter group: | Resource Id Arguments |
Имя рабочей области.
| Свойство | Значение |
|---|---|
| Parameter group: | Resource Id Arguments |
Не запрашивать подтверждение.
| Свойство | Значение |
|---|---|
| Default value: | False |
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
| Свойство | Значение |
|---|---|
| Default value: | False |
Показать это сообщение справки и выйти.
Отображать только ошибки, не показывая предупреждения.
| Свойство | Значение |
|---|---|
| Default value: | False |
Формат вывода.
| Свойство | Значение |
|---|---|
| Default value: | json |
| Допустимые значения: | json, jsonc, none, table, tsv, yaml, yamlc |
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.
| Свойство | Значение |
|---|---|
| Default value: | False |
az sentinel watchlist list
Эта команда является экспериментальной и в стадии разработки. Уровни справки и поддержки: https://aka.ms/CLI_refstatus
Получение всех списков наблюдения без элементов списка наблюдения.
az sentinel watchlist list --resource-group
--workspace-name
[--skip-token]Обязательные параметры
Имя группы ресурсов. Группу по умолчанию можно настроить с помощью az configure --defaults group=<name>.
Имя рабочей области.
Необязательные параметры
The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.
Skiptoken используется только в том случае, если предыдущая операция вернула частичный результат. Если предыдущий ответ содержит элемент nextLink, значение элемента nextLink будет включать параметр skiptoken, указывающий начальную точку для последующих вызовов. Optional.
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
| Свойство | Значение |
|---|---|
| Default value: | False |
Показать это сообщение справки и выйти.
Отображать только ошибки, не показывая предупреждения.
| Свойство | Значение |
|---|---|
| Default value: | False |
Формат вывода.
| Свойство | Значение |
|---|---|
| Default value: | json |
| Допустимые значения: | json, jsonc, none, table, tsv, yaml, yamlc |
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.
Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.
| Свойство | Значение |
|---|---|
| Default value: | False |
az sentinel watchlist show
Эта команда является экспериментальной и в стадии разработки. Уровни справки и поддержки: https://aka.ms/CLI_refstatus
Получите список наблюдения без элементов списка наблюдения.
az sentinel watchlist show [--ids]
[--name --watchlist-alias]
[--resource-group]
[--subscription]
[--workspace-name]Необязательные параметры
The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.
Один или несколько идентификаторов ресурсов (разделенных пробелами). Это должен быть полный идентификатор ресурса, содержащий все сведения о аргументах Resource Id. Необходимо указать аргументы --ids или другие параметры 'Resource Id'.
| Свойство | Значение |
|---|---|
| Parameter group: | Resource Id Arguments |
Псевдоним списка наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Resource Id Arguments |
Имя группы ресурсов. Группу по умолчанию можно настроить с помощью az configure --defaults group=<name>.
| Свойство | Значение |
|---|---|
| Parameter group: | Resource Id Arguments |
Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.
| Свойство | Значение |
|---|---|
| Parameter group: | Resource Id Arguments |
Имя рабочей области.
| Свойство | Значение |
|---|---|
| Parameter group: | Resource Id Arguments |
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
| Свойство | Значение |
|---|---|
| Default value: | False |
Показать это сообщение справки и выйти.
Отображать только ошибки, не показывая предупреждения.
| Свойство | Значение |
|---|---|
| Default value: | False |
Формат вывода.
| Свойство | Значение |
|---|---|
| Default value: | json |
| Допустимые значения: | json, jsonc, none, table, tsv, yaml, yamlc |
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.
| Свойство | Значение |
|---|---|
| Default value: | False |
az sentinel watchlist update
Эта команда является экспериментальной и в стадии разработки. Уровни справки и поддержки: https://aka.ms/CLI_refstatus
Обновите список наблюдения и его элементы списка наблюдения (массовое создание, например с помощью типа содержимого text/csv). Чтобы создать список отслеживания и его элементы, необходимо вызвать эту конечную точку с помощью rawContent или допустимых свойств URI SAR и contentType. RawContent в основном используется для небольшого списка наблюдения (размер содержимого ниже 3,8 МБ). URI SAS позволяет создать большой список наблюдения, где размер содержимого может превышать 500 МБ. Состояние обработки такого большого файла можно опрашивировать по URL-адресу, возвращенном в заголовке Azure-AsyncOperation.
az sentinel watchlist update [--add]
[--content-type]
[--created]
[--created-by]
[--default-duration]
[--description]
[--display-name]
[--etag]
[--force-string {0, 1, f, false, n, no, t, true, y, yes}]
[--ids]
[--is-deleted {0, 1, f, false, n, no, t, true, y, yes}]
[--items-search-key]
[--labels]
[--name --watchlist-alias]
[--provider]
[--raw-content]
[--remove]
[--resource-group]
[--set]
[--skip-num]
[--source]
[--source-type {Local file, Remote storage}]
[--subscription]
[--tenant-id]
[--updated]
[--updated-by]
[--upload-status]
[--watchlist-id]
[--watchlist-type]
[--workspace-name]Необязательные параметры
The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.
Добавьте объект в список объектов, указав пары пути и значения ключа. Пример: --add property.listProperty <key=value, string or JSON string>.
| Свойство | Значение |
|---|---|
| Parameter group: | Generic Update Arguments |
Тип контента необработанного содержимого. Пример: text/csv или text/tsv.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Время создания списка наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Описывает пользователя, создавшего краткий синтаксис списка отслеживания, json-file и yaml-file. Попробуйте "??", чтобы показать больше.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Длительность списка наблюдения по умолчанию (в формате длительности ISO 8601).
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Описание списка наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Отображаемое имя списка наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Etag ресурса Azure.
| Свойство | Значение |
|---|---|
| Parameter group: | Watchlist Arguments |
При использовании "set" или "add" сохраняйте строковые литералы вместо попытки преобразовать в JSON.
| Свойство | Значение |
|---|---|
| Parameter group: | Generic Update Arguments |
| Допустимые значения: | 0, 1, f, false, n, no, t, true, y, yes |
Один или несколько идентификаторов ресурсов (разделенных пробелами). Это должен быть полный идентификатор ресурса, содержащий все сведения о аргументах Resource Id. Необходимо указать аргументы --ids или другие параметры 'Resource Id'.
| Свойство | Значение |
|---|---|
| Parameter group: | Resource Id Arguments |
Флаг, указывающий, удаляется ли список наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
| Допустимые значения: | 0, 1, f, false, n, no, t, true, y, yes |
Ключ поиска используется для оптимизации производительности запросов при использовании списков наблюдения для соединений с другими данными. Например, включите столбец с IP-адресами в качестве указанного поля SearchKey, а затем используйте это поле в качестве ключевого поля при присоединении к другим данным события по IP-адресу.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Список меток, относящихся к этому списку отслеживания, поддержка сокращенного синтаксиса, json-file и yaml-file. Попробуйте "??", чтобы показать больше.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Псевдоним списка наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Resource Id Arguments |
Поставщик списка наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Необработанное содержимое, представляющее элементы списка для создания. В случае типа контента csv/tsv это содержимое файла, который будет анализироваться конечной точкой.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Удалите свойство или элемент из списка. Пример: --remove property.list <indexToRemove> OR --remove propertyToRemove.
| Свойство | Значение |
|---|---|
| Parameter group: | Generic Update Arguments |
Имя группы ресурсов. Группу по умолчанию можно настроить с помощью az configure --defaults group=<name>.
| Свойство | Значение |
|---|---|
| Parameter group: | Resource Id Arguments |
Обновите объект, указав путь к свойству и значение для задания. Пример: --set property1.property2=<value>.
| Свойство | Значение |
|---|---|
| Parameter group: | Generic Update Arguments |
Количество строк в содержимом csv/tsv, пропускаемых перед заголовком.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Имя файла списка наблюдения с именем source.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
SourceType списка отслеживания.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
| Допустимые значения: | Local file, Remote storage |
Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.
| Свойство | Значение |
|---|---|
| Parameter group: | Resource Id Arguments |
Идентификатор клиента, к которому принадлежит список наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
При последнем обновлении списка наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Описывает пользователя, который обновил краткий синтаксис списка отслеживания, json-file и yaml-file. Попробуйте "??", чтобы показать больше.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Состояние отправки списка наблюдения: New, InProgress или Complete. Примечание pls. Если состояние отправки списка наблюдения равно InProgress, список наблюдения не может быть удален.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Идентификатор (guid) списка наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Тип списка наблюдения.
| Свойство | Значение |
|---|---|
| Parameter group: | Properties Arguments |
Имя рабочей области.
| Свойство | Значение |
|---|---|
| Parameter group: | Resource Id Arguments |
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
| Свойство | Значение |
|---|---|
| Default value: | False |
Показать это сообщение справки и выйти.
Отображать только ошибки, не показывая предупреждения.
| Свойство | Значение |
|---|---|
| Default value: | False |
Формат вывода.
| Свойство | Значение |
|---|---|
| Default value: | json |
| Допустимые значения: | json, jsonc, none, table, tsv, yaml, yamlc |
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.
| Свойство | Значение |
|---|---|
| Default value: | False |
