Parsers maken met functies
Parsers zijn functies waarmee een virtuele tabel wordt gedefinieerd met al geparseerde niet-gestructureerde tekenreeksvelden, zoals Syslog-gegevens.
In het venster Logboeken maakt u een query, selecteert u de knop Opslaan, voert u de naam in en selecteert u Opslaan als-functie in de vervolgkeuzelijst. Als we in dit geval de functie PrivLogins noemen, kan ik de tabel openen met de naam PrivLogins.
SecurityEvent
| where EventID == 4672 and AccountType == 'User'
PrivLogins