共用方式為

az sentinel watchlist

  • 參考

備註

此參考是 Azure CLI 的 sentinel 延伸模組的一部分(2.37.0 版或更高版本)。 當您第一次執行 az sentinel watchlist 命令時,擴充功能會自動安裝。 深入瞭解擴充功能

使用 sentinel 管理監看清單。

命令

名稱 Description 類型 狀態
az sentinel watchlist create

建立監看清單及其關注清單專案(大量建立,例如透過文字/csv 內容類型)。 若要建立 Watchlist 及其 Items,我們應該使用 rawContent 或有效的 SAR URI 和 contentType 屬性來呼叫此端點。 rawContent 主要用於小型關注清單(內容大小低於 3.8 MB)。 SAS URI 可讓您建立大型監看列表,內容大小最多可達 500 MB。 處理這類大型檔案的狀態可以透過 Azure-AsyncOperation 標頭中傳回的 URL 輪詢。

 擴充套件 實驗性的
az sentinel watchlist delete

刪除關注清單。

 擴充套件 實驗性的
az sentinel watchlist list

取得所有關注清單,不含關注清單專案。

 擴充套件 實驗性的
az sentinel watchlist show

取得監看清單,而不取得其關注清單專案。

 擴充套件 實驗性的
az sentinel watchlist update

更新監看清單及其關注清單專案(大量建立,例如透過文字/csv 內容類型)。 若要建立 Watchlist 及其 Items,我們應該使用 rawContent 或有效的 SAR URI 和 contentType 屬性來呼叫此端點。 rawContent 主要用於小型關注清單(內容大小低於 3.8 MB)。 SAS URI 可讓您建立大型監看列表,內容大小最多可達 500 MB。 處理這類大型檔案的狀態可以透過 Azure-AsyncOperation 標頭中傳回的 URL 輪詢。

 擴充套件 實驗性的

az sentinel watchlist create

實驗

此命令是實驗性且正在開發中。 參考和支援層級: https://aka.ms/CLI_refstatus

建立監看清單及其關注清單專案(大量建立,例如透過文字/csv 內容類型)。 若要建立 Watchlist 及其 Items,我們應該使用 rawContent 或有效的 SAR URI 和 contentType 屬性來呼叫此端點。 rawContent 主要用於小型關注清單(內容大小低於 3.8 MB)。 SAS URI 可讓您建立大型監看列表,內容大小最多可達 500 MB。 處理這類大型檔案的狀態可以透過 Azure-AsyncOperation 標頭中傳回的 URL 輪詢。

az sentinel watchlist create --name
                             --resource-group
                             --workspace-name
                             [--content-type]
                             [--created]
                             [--created-by]
                             [--default-duration]
                             [--description]
                             [--display-name]
                             [--etag]
                             [--is-deleted {0, 1, f, false, n, no, t, true, y, yes}]
                             [--items-search-key]
                             [--labels]
                             [--provider]
                             [--raw-content]
                             [--skip-num]
                             [--source]
                             [--source-type {Local file, Remote storage}]
                             [--tenant-id]
                             [--updated]
                             [--updated-by]
                             [--upload-status]
                             [--watchlist-id]
                             [--watchlist-type]

必要參數

--name --watchlist-alias -n

監看清單別名。

--resource-group -g

資源組名。 您可以使用 az configure --defaults group=<name>來設定預設群組。

--workspace-name -w
實驗

工作區的名稱。

選擇性參數

--content-type

原始內容的內容類型。 範例:text/csv 或 text/tsv。

--created

建立監看清單的時間。

--created-by

描述建立關注清單的用戶支援速記語法、json-file 和 yaml-file。 請嘗試 “??” 以顯示更多。

--default-duration

關注清單的預設持續時間(以 ISO 8601 持續時間格式表示)。

--description

關注清單的描述。

--display-name

關注清單的顯示名稱。

--etag

Azure 資源的 Etag。

--is-deleted

旗標,指出是否刪除監看清單。

接受的值: 0, 1, f, false, n, no, t, true, y, yes
--items-search-key

使用監看清單與其他數據聯結時,搜尋索引鍵可用來優化查詢效能。 例如,啟用IP位址為指定 SearchKey 欄位的數據行,然後在依IP位址聯結至其他事件數據時,使用此字位作為索引鍵欄位。

--labels

此關注清單的相關標籤清單支援速記語法、json-file 和 yaml-file。 請嘗試 “??” 以顯示更多。

--provider

監看清單的提供者。

--raw-content

原始內容,表示要建立的監看清單專案。 如果是 csv/tsv 內容類型,則為端點所剖析的檔案內容。

--skip-num

要略過標頭之前 csv/tsv 內容中的行數。

--source

監看清單的檔名,稱為「來源」。

--source-type

關注清單的sourceType。

接受的值: Local file, Remote storage
--tenant-id

關注清單所屬的tenantId。

--updated

上次更新監看清單的時間。

--updated-by

描述更新關注清單的用戶支援速記語法、json-file 和 yaml-file。 請嘗試 “??” 以顯示更多。

--upload-status

Watchlist 上傳的狀態:新增、輸入或完成。 Pls 附注:當 Watchlist 上傳狀態等於 InProgress 時,就無法刪除監看清單。

--watchlist-id

關注清單的標識碼(Guid)。

--watchlist-type

關注清單的類型。

全域參數
--debug

提高日誌詳細程度以顯示所有調試日誌。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 az account set -s NAME_OR_ID來設定預設訂用帳戶。

--verbose

增加記錄的詳細程度。 針對完整偵錯記錄使用 --debug。

az sentinel watchlist delete

實驗

此命令是實驗性且正在開發中。 參考和支援層級: https://aka.ms/CLI_refstatus

刪除關注清單。

az sentinel watchlist delete [--ids]
                             [--name]
                             [--resource-group]
                             [--subscription]
                             [--workspace-name]
                             [--yes]

選擇性參數

--ids

一或多個資源識別碼(以空格分隔)。 它應該是包含 「資源標識碼」自變數所有資訊的完整資源識別碼。 您應該提供 --ids 或其他「資源識別碼」自變數。

--name --watchlist-alias -n

監看清單別名。

--resource-group -g

資源組名。 您可以使用 az configure --defaults group=<name>來設定預設群組。

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 az account set -s NAME_OR_ID來設定預設訂用帳戶。

--workspace-name -w
實驗

工作區的名稱。

--yes -y

請勿提示確認。

預設值: False
全域參數
--debug

提高日誌詳細程度以顯示所有調試日誌。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 az account set -s NAME_OR_ID來設定預設訂用帳戶。

--verbose

增加記錄的詳細程度。 針對完整偵錯記錄使用 --debug。

az sentinel watchlist list

實驗

此命令是實驗性且正在開發中。 參考和支援層級: https://aka.ms/CLI_refstatus

取得所有關注清單,不含關注清單專案。

az sentinel watchlist list --resource-group
                           --workspace-name
                           [--skip-token]

必要參數

--resource-group -g

資源組名。 您可以使用 az configure --defaults group=<name>來設定預設群組。

--workspace-name -w
實驗

工作區的名稱。

選擇性參數

--skip-token

只有在先前的作業傳回部分結果時,才會使用Skiptoken。 如果先前的回應包含 nextLink 元素,則 nextLink 元素的值會包含 skiptoken 參數,指定要用於後續呼叫的起點。 選擇性。

全域參數
--debug

提高日誌詳細程度以顯示所有調試日誌。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 az account set -s NAME_OR_ID來設定預設訂用帳戶。

--verbose

增加記錄的詳細程度。 針對完整偵錯記錄使用 --debug。

az sentinel watchlist show

實驗

此命令是實驗性且正在開發中。 參考和支援層級: https://aka.ms/CLI_refstatus

取得監看清單,而不取得其關注清單專案。

az sentinel watchlist show [--ids]
                           [--name]
                           [--resource-group]
                           [--subscription]
                           [--workspace-name]

選擇性參數

--ids

一或多個資源識別碼(以空格分隔)。 它應該是包含 「資源標識碼」自變數所有資訊的完整資源識別碼。 您應該提供 --ids 或其他「資源識別碼」自變數。

--name --watchlist-alias -n

監看清單別名。

--resource-group -g

資源組名。 您可以使用 az configure --defaults group=<name>來設定預設群組。

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 az account set -s NAME_OR_ID來設定預設訂用帳戶。

--workspace-name -w
實驗

工作區的名稱。

全域參數
--debug

提高日誌詳細程度以顯示所有調試日誌。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 az account set -s NAME_OR_ID來設定預設訂用帳戶。

--verbose

增加記錄的詳細程度。 針對完整偵錯記錄使用 --debug。

az sentinel watchlist update

實驗

此命令是實驗性且正在開發中。 參考和支援層級: https://aka.ms/CLI_refstatus

更新監看清單及其關注清單專案(大量建立,例如透過文字/csv 內容類型)。 若要建立 Watchlist 及其 Items,我們應該使用 rawContent 或有效的 SAR URI 和 contentType 屬性來呼叫此端點。 rawContent 主要用於小型關注清單(內容大小低於 3.8 MB)。 SAS URI 可讓您建立大型監看列表,內容大小最多可達 500 MB。 處理這類大型檔案的狀態可以透過 Azure-AsyncOperation 標頭中傳回的 URL 輪詢。

az sentinel watchlist update [--add]
                             [--content-type]
                             [--created]
                             [--created-by]
                             [--default-duration]
                             [--description]
                             [--display-name]
                             [--etag]
                             [--force-string {0, 1, f, false, n, no, t, true, y, yes}]
                             [--ids]
                             [--is-deleted {0, 1, f, false, n, no, t, true, y, yes}]
                             [--items-search-key]
                             [--labels]
                             [--name]
                             [--provider]
                             [--raw-content]
                             [--remove]
                             [--resource-group]
                             [--set]
                             [--skip-num]
                             [--source]
                             [--source-type {Local file, Remote storage}]
                             [--subscription]
                             [--tenant-id]
                             [--updated]
                             [--updated-by]
                             [--upload-status]
                             [--watchlist-id]
                             [--watchlist-type]
                             [--workspace-name]

選擇性參數

--add

藉由指定路徑和索引鍵值組,將物件加入物件清單。 範例: --add property.listProperty <key=value, string or JSON string>.

--content-type

原始內容的內容類型。 範例:text/csv 或 text/tsv。

--created

建立監看清單的時間。

--created-by

描述建立關注清單的用戶支援速記語法、json-file 和 yaml-file。 請嘗試 “??” 以顯示更多。

--default-duration

關注清單的預設持續時間(以 ISO 8601 持續時間格式表示)。

--description

關注清單的描述。

--display-name

關注清單的顯示名稱。

--etag

Azure 資源的 Etag。

--force-string

使用 'set' 或 'add' 時,請保留字串常值,而不是嘗試轉換成 JSON。

接受的值: 0, 1, f, false, n, no, t, true, y, yes
--ids

一或多個資源識別碼(以空格分隔)。 它應該是包含 「資源標識碼」自變數所有資訊的完整資源識別碼。 您應該提供 --ids 或其他「資源識別碼」自變數。

--is-deleted

旗標,指出是否刪除監看清單。

接受的值: 0, 1, f, false, n, no, t, true, y, yes
--items-search-key

使用監看清單與其他數據聯結時,搜尋索引鍵可用來優化查詢效能。 例如,啟用IP位址為指定 SearchKey 欄位的數據行,然後在依IP位址聯結至其他事件數據時,使用此字位作為索引鍵欄位。

--labels

此關注清單的相關標籤清單支援速記語法、json-file 和 yaml-file。 請嘗試 “??” 以顯示更多。

--name --watchlist-alias -n

監看清單別名。

--provider

監看清單的提供者。

--raw-content

原始內容,表示要建立的監看清單專案。 如果是 csv/tsv 內容類型,則為端點所剖析的檔案內容。

--remove

從清單中移除屬性或專案。 範例: --remove property.list <indexToRemove>--remove propertyToRemove

--resource-group -g

資源組名。 您可以使用 az configure --defaults group=<name>來設定預設群組。

--set

指定要設定的屬性路徑和值,以更新物件。 範例: --set property1.property2=<value>.

--skip-num

要略過標頭之前 csv/tsv 內容中的行數。

--source

監看清單的檔名,稱為「來源」。

--source-type

關注清單的sourceType。

接受的值: Local file, Remote storage
--subscription

訂用帳戶的名稱或標識碼。 您可以使用 az account set -s NAME_OR_ID來設定預設訂用帳戶。

--tenant-id

關注清單所屬的tenantId。

--updated

上次更新監看清單的時間。

--updated-by

描述更新關注清單的用戶支援速記語法、json-file 和 yaml-file。 請嘗試 “??” 以顯示更多。

--upload-status

Watchlist 上傳的狀態:新增、輸入或完成。 Pls 附注:當 Watchlist 上傳狀態等於 InProgress 時,就無法刪除監看清單。

--watchlist-id

關注清單的標識碼(Guid)。

--watchlist-type

關注清單的類型。

--workspace-name -w
實驗

工作區的名稱。

全域參數
--debug

提高日誌詳細程度以顯示所有調試日誌。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或標識碼。 您可以使用 az account set -s NAME_OR_ID來設定預設訂用帳戶。

--verbose

增加記錄的詳細程度。 針對完整偵錯記錄使用 --debug。