Verwenden des where-Operators
Der where-Operator filtert eine Tabelle auf die Teilmenge der Zeilen, die einem Prädikat entsprechen.
Führen Sie jede Abfrage separat aus, um die Ergebnisse anzuzeigen.
SecurityEvent
| where TimeGenerated > ago(1d)
SecurityEvent
| where TimeGenerated > ago(1h) and EventID == "4624"
SecurityEvent
| where TimeGenerated > ago(1h)
| where EventID == 4624
| where AccountType =~ "user"
SecurityEvent | where EventID in (4624, 4625)