Usar o operador where

Concluído

O operador where filtra uma tabela de acordo com o subconjunto de linhas que atende a um predicado.

Experimente cada uma dessas consultas individualmente para ver os resultados.

SecurityEvent
| where TimeGenerated > ago(1d)

SecurityEvent
| where TimeGenerated > ago(1h) and EventID == "4624"

SecurityEvent
| where TimeGenerated > ago(1h)
| where EventID == 4624
| where AccountType =~ "user"

SecurityEvent | where EventID in (4624, 4625)