Skapa parsers med funktioner
Parsare är funktioner som definierar en virtuell tabell med redan parsade ostrukturerade strängfält, till exempel Syslog-data.
I fönstret Loggar skapar du en fråga, väljer knappen Spara, anger Namn och väljer Spara som funktion i listrutan. I det här fallet, om vi namnger funktionen "PrivLogins", kan jag sedan komma åt tabellen med namnet PrivLogins.
SecurityEvent
| where EventID == 4672 and AccountType == 'User'
PrivLogins