WindowsEvent tablosu için sorgular

Makale
02/18/2025

Azure portalında bu sorguları kullanma hakkında bilgi için bkz . Log Analytics öğreticisi. REST API için bkz . Sorgu.

WindowsEvent Denetim İlkesi Olayları

Denetimlerin temizlendiği (EventId = 1102) veya değiştirildiği (EventId = 4719) olayları görüntüleyin.

WindowsEvent
| where Provider == 'Microsoft-Windows-Security-Auditing' 
| where EventID == 1102 or EventID == 4719
| extend DescriptionMessage = iff(EventID == 1102, 'Audit log was cleared', 'System audit policy was changed')
| take 100