Tworzenie analizatorów z funkcjami
Analizatory to funkcje definiujące tabelę wirtualną z już przeanalizowanymi polami ciągów bez struktury, takimi jak dane dziennika systemowego.
W oknie Dzienniki utworzysz zapytanie, wybierz przycisk Zapisz, wprowadź nazwę i wybierz pozycję Zapisz jako funkcję z listy rozwijanej. W takim przypadku, jeśli nazwiemy funkcję "PrivLogins", mogę uzyskać dostęp do tabeli przy użyciu nazwy PrivLogins.
SecurityEvent
| where EventID == 4672 and AccountType == 'User'
PrivLogins