Consultas para a tabela WindowsEvent

Artigo
07/31/2024

Para obter informações sobre como usar essas consultas no portal do Azure, consulte o tutorial do Log Analytics. Para a API REST, consulte Consulta.

Eventos da Política de Auditoria de Eventos do Windows

Exiba eventos em que as auditorias foram limpas (EventId = 1102) ou alteradas (EventId = 4719).

WindowsEvent
| where Provider == 'Microsoft-Windows-Security-Auditing' 
| where EventID == 1102 or EventID == 4719
| extend DescriptionMessage = iff(EventID == 1102, 'Audit log was cleared', 'System audit policy was changed')
| take 100

Comentários

Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.

Submeter e ver comentários

Este produto Esta página

Partilhar via

Consultas para a tabela WindowsEvent

Eventos da Política de Auditoria de Eventos do Windows

Comentários

Comentários

Recursos adicionais