Criar analisadores com funções
Analisadores são funções que definem uma tabela virtual com campos de cadeias de caracteres não estruturados já analisados, como os dados do Syslog.
Na janela Logs, crie uma consulta, selecione o botão Salvar, insira o Nome e selecione Salvar como Função no menu suspenso. Nesse caso, se a função for nomeada como "PrivLogins", a tabela poderá ser acessada usando o nome PrivLogins.
SecurityEvent
| where EventID == 4672 and AccountType == 'User'
PrivLogins