Compartir a través de

Consultas para la tabla WindowsEvent

  • Artículo

Para obtener información sobre el uso de estas consultas en Azure Portal, consulte tutorial de Log Analytics. Para obtener la API REST, consulte Consulta.

Eventos de directiva de auditoría de WindowsEvent

Mostrar eventos en los que se borraron las auditorías (EventId = 1102) o cambiaron (EventId = 4719).

WindowsEvent
| where Provider == 'Microsoft-Windows-Security-Auditing' 
| where EventID == 1102 or EventID == 4719
| extend DescriptionMessage = iff(EventID == 1102, 'Audit log was cleared', 'System audit policy was changed')
| take 100