Uso del operador where

3 minutos

El operador where filtra una tabla para el subconjunto de filas que cumplen un predicado.

Pruebe cada una de estas consultas por separado para ver los resultados.

SecurityEvent
| where TimeGenerated > ago(1d)

SecurityEvent
| where TimeGenerated > ago(1h) and EventID == "4624"

SecurityEvent
| where TimeGenerated > ago(1h)
| where EventID == 4624
| where AccountType =~ "user"

SecurityEvent | where EventID in (4624, 4625)

Uso del operador where

Comentarios