İşlevlerle ayrıştırıcılar oluşturma
Ayrıştırıcılar, Syslog verileri gibi zaten ayrıştırılmamış dize alanları olan bir sanal tablo tanımlayan işlevlerdir.
Günlükler penceresinde bir sorgu oluşturur, Kaydet düğmesini seçin, Ad girin ve açılan listeden İşlev Olarak Kaydet'i seçin. Bu durumda, işlevi "PrivLogins" olarak adlandırırsak, tabloya PrivLogins adını kullanarak erişebilirim.
SecurityEvent
| where EventID == 4672 and AccountType == 'User'
PrivLogins