Udostępnij za pośrednictwem


Zapytania dotyczące tabeli WindowsEvent

Aby uzyskać informacje na temat korzystania z tych zapytań w witrynie Azure Portal, zobacz Samouczek usługi Log Analytics. Aby zapoznać się z interfejsem API REST, zobacz Zapytanie.

Zdarzenia zasad inspekcji systemu WindowsEvent

Wyświetlanie zdarzeń, w których inspekcje zostały wyczyszczone (EventId = 1102) lub zmienione (EventId = 4719).

WindowsEvent
| where Provider == 'Microsoft-Windows-Security-Auditing' 
| where EventID == 1102 or EventID == 4719
| extend DescriptionMessage = iff(EventID == 1102, 'Audit log was cleared', 'System audit policy was changed')
| take 100