Criar analisadores com funções
Os analisadores são funções que definem uma tabela virtual com campos de cadeias de caracteres não estruturadas já analisados, como dados Syslog.
Na janela Logs, você cria uma consulta, seleciona o botão Salvar, insere o Nome e seleciona Salvar como função na lista suspensa. Neste caso, se nomearmos a função "PrivLogins", posso então aceder à tabela usando o nome PrivLogins.
SecurityEvent
| where EventID == 4672 and AccountType == 'User'
PrivLogins