Zapytania dotyczące tabeli WindowsEvent
Aby uzyskać informacje na temat korzystania z tych zapytań w witrynie Azure Portal, zobacz Samouczek usługi Log Analytics. Aby zapoznać się z interfejsem API REST, zobacz Zapytanie.
Zdarzenia zasad inspekcji systemu WindowsEvent
Wyświetlanie zdarzeń, w których inspekcje zostały wyczyszczone (EventId = 1102) lub zmienione (EventId = 4719).
WindowsEvent
| where Provider == 'Microsoft-Windows-Security-Auditing'
| where EventID == 1102 or EventID == 4719
| extend DescriptionMessage = iff(EventID == 1102, 'Audit log was cleared', 'System audit policy was changed')
| take 100