Sdílet prostřednictvím

Dotazy na tabulku WindowsEvent

  • Článek

Informace o používání těchto dotazů na webu Azure Portal najdete v kurzu služby Log Analytics. Informace o rozhraní REST API najdete v tématu Dotaz.

Události zásad auditu WindowsEvent

Zobrazí události, u kterých byly audity vymazány (Id události = 1102) nebo změněny (Id události = 4719).

WindowsEvent
| where Provider == 'Microsoft-Windows-Security-Auditing' 
| where EventID == 1102 or EventID == 4719
| extend DescriptionMessage = iff(EventID == 1102, 'Audit log was cleared', 'System audit policy was changed')
| take 100