Delen via

Query's voor de WindowsEvent-tabel

  • Artikel

Zie de zelfstudie over Log Analytics voor meer informatie over het gebruik van deze query's in Azure Portal. Zie Query voor de REST API.

WindowsEvent-controlebeleidsgebeurtenissen

Gebeurtenissen weergeven waarbij controles zijn gewist (EventId = 1102) of gewijzigd (EventId = 4719).

WindowsEvent
| where Provider == 'Microsoft-Windows-Security-Auditing' 
| where EventID == 1102 or EventID == 4719
| extend DescriptionMessage = iff(EventID == 1102, 'Audit log was cleared', 'System audit policy was changed')
| take 100