Dela via

Frågor för Tabellen WindowsEvent

  • Artikel

Information om hur du använder dessa frågor i Azure Portal finns i Log Analytics-självstudien. Information om REST-API:et finns i Fråga.

WindowsEvent-granskningsprinciphändelser

Visa händelser där granskningar rensades (EventId = 1102) eller ändrades (EventId = 4719).

WindowsEvent
| where Provider == 'Microsoft-Windows-Security-Auditing' 
| where EventID == 1102 or EventID == 4719
| extend DescriptionMessage = iff(EventID == 1102, 'Audit log was cleared', 'System audit policy was changed')
| take 100