関数を使用してパーサーを作成する

  • 7 分

パーサーは、Syslog データなど、非構造化文字列フィールドが既に解析されている仮想テーブルを定義する関数です。

[ログ] ウィンドウで、クエリを作成し、[保存] ボタンを選択し、[名前] を入力し、ドロップダウンから [関数として保存] を選択します。 この場合、関数に "PrivLogins" という名前を付けた場合、PrivLogins という名前を使用してテーブルにアクセスできます。

SecurityEvent
| where EventID == 4672 and AccountType == 'User'


PrivLogins