Créer des analyseurs avec des fonctions

Effectué

Les analyseurs sont des fonctions qui définissent une table virtuelle avec des champs de chaînes non structurées déjà analysés, tels que les données Syslog.

Dans la fenêtre des journaux, vous créez une requête, sélectionnez le bouton « Enregistrer », entrez le nom, puis sélectionnez la fonction « Enregistrer sous » dans la liste déroulante. Dans le cas présent, nous nommons la fonction « PrivLogins ». Je peux ensuite accéder à la table à l’aide du nom PrivLogins.

SecurityEvent
| where EventID == 4672 and AccountType == 'User'

PrivLogins