WindowsEvent テーブルのクエリ

[アーティクル]
11/05/2024

Azure portal でこれらのクエリを使用する方法については、 Log Analytics のチュートリアルを参照してください。 REST API については、「 Query」を参照してください。

WindowsEvent 監査ポリシーイベント

監査がクリアされたイベント (EventId = 1102) または変更されたイベント (EventId = 4719) を表示します。

WindowsEvent
| where Provider == 'Microsoft-Windows-Security-Auditing' 
| where EventID == 1102 or EventID == 4719
| extend DescriptionMessage = iff(EventID == 1102, 'Audit log was cleared', 'System audit policy was changed')
| take 100