where 演算子を使用する
where 演算子を使用すると、テーブルにフィルターをかけて、述語が成り立つ行のサブセットを取得できます。
これらの各クエリを個別に試して、結果を確認しましょう。
SecurityEvent
| where TimeGenerated > ago(1d)
SecurityEvent
| where TimeGenerated > ago(1h) and EventID == "4624"
SecurityEvent
| where TimeGenerated > ago(1h)
| where EventID == 4624
| where AccountType =~ "user"
SecurityEvent | where EventID in (4624, 4625)