Creación de analizadores con funciones
Los analizadores son funciones que definen una tabla virtual con campos de cadenas no estructuradas ya analizadas, como los datos de Syslog.
En la ventana Registros, cree una consulta, seleccione el botón Guardar, escriba el nombre y seleccione Guardar como función en la lista desplegable. En este caso, si se llama a la función "PrivLogins", se puede acceder a la tabla con el nombre PrivLogins.
SecurityEvent
| where EventID == 4672 and AccountType == 'User'
PrivLogins