Vytváření analyzátorů pomocí funkcí
Analyzátory jsou funkce, které definují virtuální tabulku s již analyzovanými nestrukturovanými řetězci polí, jako jsou data Syslogu.
V okně Protokoly vytvoříte dotaz, vyberete tlačítko Uložit, zadáte název a v rozevíracím seznamu vyberete Uložit jako funkci. Pokud v tomto případě pojmenujeme funkci PrivLogins, můžu k tabulce přistupovat pomocí názvu PrivLogins.
SecurityEvent
| where EventID == 4672 and AccountType == 'User'
PrivLogins