Megosztás a következőn keresztül:

Lekérdezések a WindowsEvent táblához

  • Cikk

A lekérdezések Azure Portalon való használatáról további információt a Log Analytics oktatóanyagában talál. A REST API-val kapcsolatban lásd a Lekérdezést.

WindowsEvent naplózási szabályzat eseményei

Megjeleníti azokat az eseményeket, ahol a naplózások törlődtek (EventId = 1102) vagy módosultak (EventId = 4719).

WindowsEvent
| where Provider == 'Microsoft-Windows-Security-Auditing' 
| where EventID == 1102 or EventID == 4719
| extend DescriptionMessage = iff(EventID == 1102, 'Audit log was cleared', 'System audit policy was changed')
| take 100