azure-data-explorer - 改进 Kusto Query - 邮箱审核日志搜索
问题描述
我正在尝试识别未使用的共享邮箱。已经检查了“Search-MailboxAuditLog”,即使启用了审核,某些邮箱也不会返回任何结果,但可以在 Azure 哨兵中看到活动。
- 有没有办法在 Kusto 代码以下进行改进?(在测试期间尝试了带有活动的邮箱但有时没有从查询中得到任何结果)
- 使用 Kusto,有没有办法像 powershell "foreach ($item in $mbs)" 那样循环遍历 "mbs"?
谢谢,
let mbs = datatable (name: string)
[
"xxx1@something.com",
"xxx2@something.com",
"xxx3@something.com",
];
OfficeActivity
| where OfficeWorkload == "Exchange" and TimeGenerated > ago(30d)
| where MailboxOwnerUPN in~ (mbs)
| distinct MailboxOwnerUPN
更新:需要查询帮助
- 输入将是共享邮箱 UPN 的列表
- 输出将是具有任何活动的共享邮箱列表,例如在“操作”字段中具有任何操作的 MB
解决方案
推荐阅读
- android - 我如何在android studio中编写SmallTests,错误@SmallTest无法解决让我失望
- csv - 如何使用 Go 对 csv 文件进行字母排序?
- php - 仅在特定页面上刷新 Woocommerce 购物车片段
- python - Django Winerror 995?
- ios - 尝试在 Swift 中使用 websocket 连接时总是出错
- corda - CorDapp 流和 REST API
- arangodb - ArangoDB 在尝试运行带有 COLLECT 子句的遍历 AQL 时崩溃
- sql - 从日期开始计算天数,然后将该计数转换为日期时间?
- git - 在 Github 中,如何判断一个目录是否已被删除?
- c++ - c++11:使用向量的元素调用可变参数函数,并自动推断参数的数量