Creare parser con funzioni
I parser sono funzioni che definiscono una tabella virtuale con campi stringa non strutturati già analizzati, ad esempio i dati Syslog.
Nella finestra Log è possibile creare una query, selezionare il pulsante Salva, immettere il nome e selezionare Salva come funzione nell'elenco a discesa. In questo caso, se si denomina la funzione "PrivLogins", è possibile accedere alla tabella usando il nome PrivLogins.
SecurityEvent
| where EventID == 4672 and AccountType == 'User'
PrivLogins